Možda ćete primijetiti da neki članci ne prikazuju dosljedno sadržaj. Ispričavamo se na pomalo prašnjavom sadržaju jer osvježavamo naše web-mjesto.
cross icon
U ovome članku
dropdown icon
Predgovor
    Nove i promijenjene informacije
    dropdown icon
    Započnite s hibridnom sigurnošću podataka
      Pregled sigurnosti hibridnih podataka
        dropdown icon
        Arhitektura sigurnosnog područja
          Carstva odvajanja (bez hibridne sigurnosti podataka)
        Suradnja s drugim organizacijama
          Očekivanja za implementaciju hibridne sigurnosti podataka
            Proces postavljanja na visokoj razini
              dropdown icon
              Model implementacije hibridne sigurnosti podataka
                Model implementacije hibridne sigurnosti podataka
              Probni način sigurnosti hibridnih podataka
                dropdown icon
                Podatkovni centar u pripravnosti za oporavak od katastrofe
                  Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe
                Proxy podrška
                dropdown icon
                Pripremite svoje okruženje
                  dropdown icon
                  Zahtjevi za sigurnost hibridnih podataka
                    Zahtjevi za licencu Cisco Webex
                    Zahtjevi za Docker Desktop
                    X.509 Zahtjevi certifikata
                    Zahtjevi virtualnog hosta
                    Zahtjevi poslužitelja baze podataka
                    Zahtjevi za vanjsko povezivanje
                    Preduvjeti proxy poslužitelja
                  Ispunite preduvjete za sigurnost hibridnih podataka
                  dropdown icon
                  Postavite hibridni klaster sigurnosti podataka
                    Tijek zadatka implementacije hibridne sigurnosti podataka
                      Preuzmite instalacijske datoteke
                        Izradite konfiguracijski ISO za HDS hostove
                          Instalirajte HDS Host OVA
                            Postavite VM za hibridnu sigurnost podataka
                              Prenesite i montirajte ISO konfiguraciju HDS-a
                                Konfiguriranje HDS čvora za integraciju proxy poslužitelja
                                  Registrirajte prvi čvor u klasteru
                                    Stvorite i registrirajte više čvorova
                                    dropdown icon
                                    Pokrenite probnu verziju i prijeđite u produkciju
                                      Tijek zadatka od probnog do proizvodnog
                                        Aktivirajte probnu verziju
                                          Testirajte svoju implementaciju sigurnosti hibridnih podataka
                                            Pratite zdravlje hibridne sigurnosti podataka
                                              Dodajte ili uklonite korisnike iz svoje probne verzije
                                                Prijeđite s probnog na produkciju
                                                  Završite probno razdoblje bez prelaska na produkciju
                                                  dropdown icon
                                                  Upravljajte svojom HDS implementacijom
                                                    Upravljajte HDS implementacijom
                                                      Postavite raspored nadogradnje klastera
                                                        Promijenite konfiguraciju čvora
                                                          Isključivanje blokiranog načina vanjske razlučivosti DNS-a
                                                            Uklonite čvor
                                                              Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja
                                                                (Izborno) Isključite ISO nakon HDS konfiguracije
                                                                dropdown icon
                                                                Rješavanje problema sa sigurnošću hibridnih podataka
                                                                  Pregledajte upozorenja i rješavanje problema
                                                                    dropdown icon
                                                                    Upozorenja
                                                                      Uobičajeni problemi i koraci za njihovo rješavanje
                                                                    Rješavanje problema sa sigurnošću hibridnih podataka
                                                                    dropdown icon
                                                                    Ostale bilješke
                                                                      Poznati problemi za sigurnost hibridnih podataka
                                                                        Koristite OpenSSL za generiranje PKCS12 datoteke
                                                                          Promet između HDS čvorova i oblaka
                                                                            dropdown icon
                                                                            Konfigurirajte Squid proxy za hibridnu sigurnost podataka
                                                                              Websocket se ne može povezati putem proxy poslužitelja lignji
                                                                          U ovome članku
                                                                          cross icon
                                                                          dropdown icon
                                                                          Predgovor
                                                                            Nove i promijenjene informacije
                                                                            dropdown icon
                                                                            Započnite s hibridnom sigurnošću podataka
                                                                              Pregled sigurnosti hibridnih podataka
                                                                                dropdown icon
                                                                                Arhitektura sigurnosnog područja
                                                                                  Carstva odvajanja (bez hibridne sigurnosti podataka)
                                                                                Suradnja s drugim organizacijama
                                                                                  Očekivanja za implementaciju hibridne sigurnosti podataka
                                                                                    Proces postavljanja na visokoj razini
                                                                                      dropdown icon
                                                                                      Model implementacije hibridne sigurnosti podataka
                                                                                        Model implementacije hibridne sigurnosti podataka
                                                                                      Probni način sigurnosti hibridnih podataka
                                                                                        dropdown icon
                                                                                        Podatkovni centar u pripravnosti za oporavak od katastrofe
                                                                                          Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe
                                                                                        Proxy podrška
                                                                                        dropdown icon
                                                                                        Pripremite svoje okruženje
                                                                                          dropdown icon
                                                                                          Zahtjevi za sigurnost hibridnih podataka
                                                                                            Zahtjevi za licencu Cisco Webex
                                                                                            Zahtjevi za Docker Desktop
                                                                                            X.509 Zahtjevi certifikata
                                                                                            Zahtjevi virtualnog hosta
                                                                                            Zahtjevi poslužitelja baze podataka
                                                                                            Zahtjevi za vanjsko povezivanje
                                                                                            Preduvjeti proxy poslužitelja
                                                                                          Ispunite preduvjete za sigurnost hibridnih podataka
                                                                                          dropdown icon
                                                                                          Postavite hibridni klaster sigurnosti podataka
                                                                                            Tijek zadatka implementacije hibridne sigurnosti podataka
                                                                                              Preuzmite instalacijske datoteke
                                                                                                Izradite konfiguracijski ISO za HDS hostove
                                                                                                  Instalirajte HDS Host OVA
                                                                                                    Postavite VM za hibridnu sigurnost podataka
                                                                                                      Prenesite i montirajte ISO konfiguraciju HDS-a
                                                                                                        Konfiguriranje HDS čvora za integraciju proxy poslužitelja
                                                                                                          Registrirajte prvi čvor u klasteru
                                                                                                            Stvorite i registrirajte više čvorova
                                                                                                            dropdown icon
                                                                                                            Pokrenite probnu verziju i prijeđite u produkciju
                                                                                                              Tijek zadatka od probnog do proizvodnog
                                                                                                                Aktivirajte probnu verziju
                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka
                                                                                                                    Pratite zdravlje hibridne sigurnosti podataka
                                                                                                                      Dodajte ili uklonite korisnike iz svoje probne verzije
                                                                                                                        Prijeđite s probnog na produkciju
                                                                                                                          Završite probno razdoblje bez prelaska na produkciju
                                                                                                                          dropdown icon
                                                                                                                          Upravljajte svojom HDS implementacijom
                                                                                                                            Upravljajte HDS implementacijom
                                                                                                                              Postavite raspored nadogradnje klastera
                                                                                                                                Promijenite konfiguraciju čvora
                                                                                                                                  Isključivanje blokiranog načina vanjske razlučivosti DNS-a
                                                                                                                                    Uklonite čvor
                                                                                                                                      Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja
                                                                                                                                        (Izborno) Isključite ISO nakon HDS konfiguracije
                                                                                                                                        dropdown icon
                                                                                                                                        Rješavanje problema sa sigurnošću hibridnih podataka
                                                                                                                                          Pregledajte upozorenja i rješavanje problema
                                                                                                                                            dropdown icon
                                                                                                                                            Upozorenja
                                                                                                                                              Uobičajeni problemi i koraci za njihovo rješavanje
                                                                                                                                            Rješavanje problema sa sigurnošću hibridnih podataka
                                                                                                                                            dropdown icon
                                                                                                                                            Ostale bilješke
                                                                                                                                              Poznati problemi za sigurnost hibridnih podataka
                                                                                                                                                Koristite OpenSSL za generiranje PKCS12 datoteke
                                                                                                                                                  Promet između HDS čvorova i oblaka
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurirajte Squid proxy za hibridnu sigurnost podataka
                                                                                                                                                      Websocket se ne može povezati putem proxy poslužitelja lignji
                                                                                                                                                  Vodič za implementaciju za Webex Hybrid Data Security
                                                                                                                                                  list-menuU ovome članku
                                                                                                                                                  Predgovor
                                                                                                                                                  

                                                                                                                                                  Nove i promijenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Promjene napravljene

                                                                                                                                                  20. listopada 2023

                                                                                                                                                  07. kolovoza 2023

                                                                                                                                                  23. svibnja 2023

                                                                                                                                                  06. prosinca 2022

                                                                                                                                                  23. studenog 2022

                                                                                                                                                  13. listopada 2021

                                                                                                                                                  Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

                                                                                                                                                  24. lipnja 2021

                                                                                                                                                  Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

                                                                                                                                                  30. travnja 2021.

                                                                                                                                                  Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

                                                                                                                                                  24. veljače 2021

                                                                                                                                                  HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

                                                                                                                                                  2. veljače 2021

                                                                                                                                                  HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  11. siječnja 2021

                                                                                                                                                  Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  13. listopada 2020

                                                                                                                                                  Ažurirano Preuzmite instalacijske datoteke .

                                                                                                                                                  8. listopada 2020.

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

                                                                                                                                                  14. kolovoza 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

                                                                                                                                                  5. kolovoza 2020

                                                                                                                                                  Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

                                                                                                                                                  16. lipnja 2020

                                                                                                                                                  Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

                                                                                                                                                  4. lipnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

                                                                                                                                                  29. svibnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

                                                                                                                                                  5. svibnja 2020

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

                                                                                                                                                  21. travnja 2020

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

                                                                                                                                                  1. travnja 2020.

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

                                                                                                                                                  20. veljače 2020Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.
                                                                                                                                                  4. veljače 2020Ažurirano Zahtjevi proxy poslužitelja .
                                                                                                                                                  16. prosinca 2019.Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .
                                                                                                                                                  19. studenog 2019

                                                                                                                                                  Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

                                                                                                                                                  8. studenog 2019

                                                                                                                                                  Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

                                                                                                                                                  U skladu s tim ažurirani su sljedeći odjeljci:


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  6. rujna 2019

                                                                                                                                                  Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

                                                                                                                                                  29. kolovoza 2019.Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.
                                                                                                                                                  20. kolovoza 2019

                                                                                                                                                  Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

                                                                                                                                                  13. lipnja 2019Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika.
                                                                                                                                                  6. ožujka 2019
                                                                                                                                                  28. veljače 2019.
                                                                                                                                                  • Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

                                                                                                                                                  26. veljače 2019.
                                                                                                                                                  • Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.

                                                                                                                                                  • Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

                                                                                                                                                  24. siječnja 2019

                                                                                                                                                  • Hybrid Data Security sada podržava Microsoft SQL Server kao bazu podataka. SQL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržan je od strane JDBC upravljačkih programa koji se koriste u Hybrid Data Security. Dodan sadržaj vezan za implementaciju sa SQL Serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška za Microsoftov SQL poslužitelj namijenjena je samo novim implementacijama usluge Hybrid Data Security. Trenutačno ne podržavamo premještanje podataka s PostgreSQL na Microsoftov SQL poslužitelj u postojećoj implementaciji.

                                                                                                                                                  5. studenog 2018
                                                                                                                                                  19. listopada 2018

                                                                                                                                                  31. srpnja 2018

                                                                                                                                                  21. svibnja 2018.

                                                                                                                                                  Promijenjena terminologija koja odražava rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security sada je Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark sada je aplikacija Webex .

                                                                                                                                                  • Cisco Collaboraton Cloud sada je Webex oblak.

                                                                                                                                                  11. travnja 2018
                                                                                                                                                  22. veljače 2018
                                                                                                                                                  15. veljače 2018.
                                                                                                                                                  • U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

                                                                                                                                                  18. siječnja 2018.

                                                                                                                                                  2. studenog 2017

                                                                                                                                                  • Pojašnjena sinkronizacija imenika HdsTrialGroup.

                                                                                                                                                  • Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

                                                                                                                                                  18. kolovoza 2017

                                                                                                                                                  Prvi put objavljeno

                                                                                                                                                  Započnite s hibridnom sigurnošću podataka
                                                                                                                                                  

                                                                                                                                                  Pregled sigurnosti hibridnih podataka

                                                                                                                                                  Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

                                                                                                                                                  Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

                                                                                                                                                  Arhitektura sigurnosnog područja

                                                                                                                                                  Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

                                                                                                                                                  Carstva razdvajanja (bez hibridne sigurnosti podataka)

                                                                                                                                                  Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.

                                                                                                                                                  U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:

                                                                                                                                                  1. Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.

                                                                                                                                                  2. Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.

                                                                                                                                                  3. Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.

                                                                                                                                                  4. Šifrirana poruka je pohranjena u području pohrane.

                                                                                                                                                  Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.

                                                                                                                                                  Suradnja s drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

                                                                                                                                                  KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.

                                                                                                                                                  Očekivanja za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

                                                                                                                                                  Za implementaciju Hybrid Data Security morate osigurati:

                                                                                                                                                  Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.

                                                                                                                                                  • Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

                                                                                                                                                  Proces postavljanja na visokoj razini

                                                                                                                                                  Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

                                                                                                                                                  • Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.

                                                                                                                                                    Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.

                                                                                                                                                  • Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.

                                                                                                                                                  • Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.

                                                                                                                                                  Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni način sigurnosti hibridnih podataka

                                                                                                                                                  Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.

                                                                                                                                                  Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .

                                                                                                                                                  Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.

                                                                                                                                                  Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ručno prebacivanje u stanje pripravnosti podatkovnog centra

                                                                                                                                                  Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

                                                                                                                                                  Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

                                                                                                                                                  Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

                                                                                                                                                  Prije početka

                                                                                                                                                  • podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)

                                                                                                                                                  • Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon konfiguriranja passiveMode u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.

                                                                                                                                                  Podrška za proxy

                                                                                                                                                  Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.

                                                                                                                                                  Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

                                                                                                                                                  • Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:

                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:

                                                                                                                                                      • HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.

                                                                                                                                                      • HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo ako odaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                  Primjer hibridnih čvorova za sigurnost podataka i proxyja

                                                                                                                                                  Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.

                                                                                                                                                  Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

                                                                                                                                                  Pripremite svoje okruženje
                                                                                                                                                  

                                                                                                                                                  Zahtjevi za hibridnu sigurnost podataka

                                                                                                                                                  Zahtjevi za licencu Cisco Webex

                                                                                                                                                  Za implementaciju hibridne sigurnosti podataka:

                                                                                                                                                  Zahtjevi za Docker Desktop

                                                                                                                                                  Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".

                                                                                                                                                  X.509 Zahtjevi certifikata

                                                                                                                                                  lanac certifikata mora ispunjavati sljedeće zahtjeve:

                                                                                                                                                  Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Uvjet

                                                                                                                                                  Pojedinosti

                                                                                                                                                  • Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)

                                                                                                                                                  Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security

                                                                                                                                                  • Nije zamjenski certifikat

                                                                                                                                                  CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, hds.company.com.

                                                                                                                                                  CN ne smije sadržavati * (zamjenski znak).

                                                                                                                                                  CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima.

                                                                                                                                                  Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatirano kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime kms-private-key za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.

                                                                                                                                                  Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata.

                                                                                                                                                  Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

                                                                                                                                                  KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.

                                                                                                                                                  Zahtjevi virtualnog hosta

                                                                                                                                                  Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

                                                                                                                                                  • Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i radi.


                                                                                                                                                     

                                                                                                                                                    Morate nadograditi ako imate stariju verziju ESXi.

                                                                                                                                                  • Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

                                                                                                                                                  Zahtjevi poslužitelja baze podataka


                                                                                                                                                   

                                                                                                                                                  Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

                                                                                                                                                  Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

                                                                                                                                                  Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC drajver 42.2.5

                                                                                                                                                  SQL Server JDBC upravljački program 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

                                                                                                                                                  Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.

                                                                                                                                                  • Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.

                                                                                                                                                  • DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).

                                                                                                                                                  • Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

                                                                                                                                                    Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

                                                                                                                                                  Zahtjevi za vanjsko povezivanje

                                                                                                                                                  Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Priključak

                                                                                                                                                  Smjer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi hibridne sigurnosti podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  • Webex poslužitelji:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge

                                                                                                                                                  Alat za postavljanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

                                                                                                                                                  Regija

                                                                                                                                                  Uobičajeni URL-ovi hosta identiteta

                                                                                                                                                  Južna i Sjeverna Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtjevi proxy poslužitelja

                                                                                                                                                  • Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

                                                                                                                                                    • Transparentni proxy— Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .

                                                                                                                                                  • Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:

                                                                                                                                                    • Nema provjere autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Osnovna provjera autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Digest autentifikacija samo s HTTPS-om

                                                                                                                                                  • Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.

                                                                                                                                                  • Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.

                                                                                                                                                  • Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

                                                                                                                                                  Ispunite preduvjete za sigurnost hibridnih podataka

                                                                                                                                                  Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domene za svoju HDS implementaciju (na primjer, hds.company.com) i pribavite lanac certifikata sadrži certifikat X.509, privatni ključ i sve posredničke certifikate. lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta .

                                                                                                                                                  4

                                                                                                                                                  Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima.

                                                                                                                                                  1. Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)

                                                                                                                                                  2. Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                    • naziv ime organizatora ili IP adresa (host) i port

                                                                                                                                                    • naziv baze podataka (dbname) za pohranu ključeva

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a.

                                                                                                                                                  6

                                                                                                                                                  Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Budući da čvorovi Hybrid Data Security pohranjuju ključeve koji se koriste za šifriranje i dešifriranje sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NENAKNADIVI GUBITAK tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

                                                                                                                                                  8

                                                                                                                                                  Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  9

                                                                                                                                                  Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

                                                                                                                                                  Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  10

                                                                                                                                                  Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Datoteka HdsTrialGroup objekt mora biti sinkroniziran s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za sinkronizaciju grupnog objekta, odaberite ga u konektoru imenika Konfiguracija > Odabir objekta izbornik. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite trajno deaktivirati implementaciju Hybrid Data Security, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim korisničke aplikacije osvježe svoje kopije sadržaja u predmemoriji.

                                                                                                                                                  Postavite hibridni klaster sigurnosti podataka
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka implementacije hibridne sigurnosti podataka

                                                                                                                                                  1

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

                                                                                                                                                  2

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  5

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

                                                                                                                                                  8

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Dovršite postavljanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.


                                                                                                                                                   

                                                                                                                                                  Također možete preuzeti OVA u bilo kojem trenutku sa Pomoć odjeljak o Postavke stranica. Na kartici Hybrid Data Security kliknite Uredite postavke da otvorite stranicu. Zatim kliknite Preuzmite softver za hibridnu sigurnost podataka u Pomoć odjeljak.


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama Hybrid Data Security. To može dovesti do problema tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

                                                                                                                                                  OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
                                                                                                                                                  4

                                                                                                                                                  Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:

                                                                                                                                                    • Vjerodajnice baze podataka

                                                                                                                                                    • Ažuriranja certifikata

                                                                                                                                                    • Promjene u politici autorizacije

                                                                                                                                                  • Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                  • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

                                                                                                                                                  Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stranici Pregled alata za postavljanje kliknite Započnite .

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz stranicu, imate ove opcije:

                                                                                                                                                  • ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
                                                                                                                                                  • da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.
                                                                                                                                                  10

                                                                                                                                                  Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  • Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat u redu, kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

                                                                                                                                                  1. Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

                                                                                                                                                    Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .

                                                                                                                                                  2. ( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :

                                                                                                                                                    • Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.

                                                                                                                                                    • Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.

                                                                                                                                                  3. Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primjer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

                                                                                                                                                    Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433

                                                                                                                                                  4. Unesite Naziv baze podataka .

                                                                                                                                                  5. Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

                                                                                                                                                  12

                                                                                                                                                  Odaberite a TLS način povezivanja baze podataka :

                                                                                                                                                  Način rada

                                                                                                                                                  Opis

                                                                                                                                                  Radije TLS (zadana opcija)

                                                                                                                                                  HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

                                                                                                                                                  Zahtijevajte TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  Zahtijevajte TLS i potvrdite potpisnika certifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

                                                                                                                                                  1. Unesite URL poslužitelja syslog.

                                                                                                                                                    Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

                                                                                                                                                    Primjer:
                                                                                                                                                    udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
                                                                                                                                                  2. Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

                                                                                                                                                    Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP

                                                                                                                                                    • Null bajt -- \x00

                                                                                                                                                    • Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

                                                                                                                                                  Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

                                                                                                                                                  Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

                                                                                                                                                  2

                                                                                                                                                  Odaberite Datoteka > Postavite OVF predložak .

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

                                                                                                                                                  4

                                                                                                                                                  Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

                                                                                                                                                  Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

                                                                                                                                                  6

                                                                                                                                                  Provjerite detalje predloška, a zatim kliknite Dalje .

                                                                                                                                                  7

                                                                                                                                                  Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

                                                                                                                                                  8

                                                                                                                                                  Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

                                                                                                                                                  9

                                                                                                                                                  Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

                                                                                                                                                  • Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                    • Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.

                                                                                                                                                    • Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

                                                                                                                                                  • IP adresa — Unesite IP adresa za interno sučelje čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  • Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
                                                                                                                                                  • Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
                                                                                                                                                  • DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
                                                                                                                                                  • NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.
                                                                                                                                                  • Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

                                                                                                                                                  Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

                                                                                                                                                  Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

                                                                                                                                                  Savjeti za rješavanje problema

                                                                                                                                                  Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se.

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab.

                                                                                                                                                  VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
                                                                                                                                                  2

                                                                                                                                                  Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku:

                                                                                                                                                  1. Prijava: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.

                                                                                                                                                  4

                                                                                                                                                  Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  5

                                                                                                                                                  (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima.

                                                                                                                                                  Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                  6

                                                                                                                                                  Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  Prije početka

                                                                                                                                                  Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Prenesite ISO datoteku sa svog računala:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.

                                                                                                                                                  2. Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .

                                                                                                                                                  3. Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .

                                                                                                                                                  4. Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .

                                                                                                                                                  5. Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .

                                                                                                                                                  6. Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

                                                                                                                                                  2

                                                                                                                                                  Montirajte ISO datoteku:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  2. Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Povezano i Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i ponovno pokrenite virtualno računalo.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.

                                                                                                                                                  Prije početka

                                                                                                                                                  1

                                                                                                                                                  Unesite URL za postavljanje HDS čvora https://[HDS Node IP or FQDN]/setup u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Trust Store & Proxy , a zatim odaberite opciju:

                                                                                                                                                  • Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke:
                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                  Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy.

                                                                                                                                                  Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja.

                                                                                                                                                  Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .

                                                                                                                                                  5

                                                                                                                                                  Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni.

                                                                                                                                                  Čvor se ponovno pokreće u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu.

                                                                                                                                                  Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

                                                                                                                                                  Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Na izborniku na lijevoj strani zaslona odaberite Usluge .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite .

                                                                                                                                                  Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
                                                                                                                                                  4

                                                                                                                                                  Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor.

                                                                                                                                                  Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                  Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Idite na Node .

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nastavi u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                  Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno stvorite dodatne VM-ove i montirate istu konfiguracijsku ISO datoteku, a zatim registrirate čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .

                                                                                                                                                  4

                                                                                                                                                  Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte čvor.

                                                                                                                                                  1. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi .

                                                                                                                                                    Pojavljuje se stranica Resursi za sigurnost hibridnih podataka.
                                                                                                                                                  3. Kliknite Dodaj resurs .

                                                                                                                                                  4. U prvom polju odaberite naziv postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                    Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite Idite na Node .

                                                                                                                                                    Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  7. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                    Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  8. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka od probnog do proizvodnog

                                                                                                                                                  Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primjenjivo, sinkronizirajte HdsTrialGroup grupni objekt.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Provjerite status i postaviti obavijesti e-poštom za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  6

                                                                                                                                                  Dovršite probnu fazu jednom od sljedećih radnji:

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Prije početka

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Status usluge kliknite Započni suđenje .

                                                                                                                                                  Status usluge mijenja se u probni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja.

                                                                                                                                                  (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Postavite svoju implementaciju Hybrid Data Security.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

                                                                                                                                                  1

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan nakon zamjene predmemorije klijentskih kopija ključeva za šifriranje.

                                                                                                                                                  2

                                                                                                                                                  Šaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

                                                                                                                                                  1. Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog objekta KMS resursa (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Indikator indikator statusa unutar Control Huba pokazuje je li sve u redu s implementacijom Hybrid Data Security. Za proaktivnije upozorenje, registrirati se za obavijesti putem e-pošte. Bit ćete obaviješteni kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.
                                                                                                                                                  1

                                                                                                                                                  u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke .

                                                                                                                                                  Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
                                                                                                                                                  3

                                                                                                                                                  U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.

                                                                                                                                                  4

                                                                                                                                                  Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

                                                                                                                                                  Prijeđite s probnog na produkciju

                                                                                                                                                  Kada ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike, možete prijeći na proizvodnju. Kada prijeđete u proizvodnju, svi korisnici u organizaciji koristit će vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Ne možete se vratiti na probni način rada iz proizvodnje osim ako ne deaktivirate uslugu kao dio oporavka od oporavak od katastrofe. Ponovno aktiviranje usluge zahtijeva da postaviti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Status usluge kliknite Prijeđite u produkciju .

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

                                                                                                                                                  Završite probno razdoblje bez prelaska na produkciju

                                                                                                                                                  Ako tijekom probnog razdoblja odlučite ne nastaviti s implementacijom Hybrid Data Security, možete deaktivirati Hybrid Data Security, čime se završava probna verzija i premještaju korisnici probne verzije natrag na usluge sigurnosti podataka u oblaku. Korisnici probne verzije izgubit će pristup podacima koji su bili šifrirani tijekom probe.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Deaktiviraj kliknite Deaktiviraj .

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

                                                                                                                                                  Upravljajte svojom HDS implementacijom
                                                                                                                                                  

                                                                                                                                                  Upravljajte HDS implementacijom

                                                                                                                                                  Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

                                                                                                                                                  Postavite raspored nadogradnje klastera

                                                                                                                                                  Softverske nadogradnje za Hybrid Data Security obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verzija softvera. Nadogradnje se obavljaju prema rasporedu nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili koristiti zadani raspored od 3:00 AM u Sjedinjenim Državama: Amerika/Los Angeles. Također možete odabrati odgoditi nadolazeću nadogradnju, ako je potrebno.

                                                                                                                                                  Za postavljanje rasporeda nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Kontrolno čvorište .

                                                                                                                                                  2

                                                                                                                                                  Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje.

                                                                                                                                                  Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

                                                                                                                                                  Promijenite konfiguraciju čvora

                                                                                                                                                  Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:
                                                                                                                                                  • Promjena x.509 certifikata zbog isteka ili drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

                                                                                                                                                  • Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

                                                                                                                                                  • Izrada nove konfiguracije za pripremu novog podatkovni centar.

                                                                                                                                                  Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:

                                                                                                                                                  • Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.

                                                                                                                                                  • Hard reset —Stare lozinke odmah prestaju raditi.

                                                                                                                                                  Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

                                                                                                                                                  1. U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                    U uobičajenim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2. Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U uobičajenim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                    • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U uobičajenim okruženjima s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6. Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  7. Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.

                                                                                                                                                  8. Uvezite ISO datoteku trenutne konfiguracije.

                                                                                                                                                  9. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  10. Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

                                                                                                                                                  2

                                                                                                                                                  Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova .

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Postavite HDS VM.

                                                                                                                                                  3. Montirajte ažuriranu konfiguracijska datoteka.

                                                                                                                                                  4. Registrirajte novi čvor u Control Hubu.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora:

                                                                                                                                                  1. Isključite virtualno računalo.

                                                                                                                                                  2. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i uključite virtualno računalo.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

                                                                                                                                                  Isključite način razlučivanja blokiranog vanjskog DNS -a

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.

                                                                                                                                                  Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

                                                                                                                                                  Prije početka

                                                                                                                                                  Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.
                                                                                                                                                  1

                                                                                                                                                  U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Pregled (zadana stranica).

                                                                                                                                                  Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .

                                                                                                                                                  3

                                                                                                                                                  Idite na Trust Store & Proxy stranica.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu .

                                                                                                                                                  Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

                                                                                                                                                  Uklonite čvor

                                                                                                                                                  Upotrijebite ovaj postupak za uklanjanje čvora Hybrid Data Security iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup vašim sigurnosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.

                                                                                                                                                  3. Odaberite svoj klaster za prikaz njegove ploče Pregled.

                                                                                                                                                  4. Kliknite Otvorite popis čvorova .

                                                                                                                                                  5. Na kartici Čvorovi odaberite čvor koji želite ukloniti.

                                                                                                                                                  6. Kliknite Radnje > Odjavite čvor .

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

                                                                                                                                                  Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

                                                                                                                                                  Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.

                                                                                                                                                  Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:

                                                                                                                                                  Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite izlaz syslog kako biste provjerili da čvorovi podatkovni centar u stanju čekanja nisu u pasivnom načinu rada. "KMS konfiguriran u pasivnom načinu rada" ne bi se trebao pojaviti u sistemskim zapisnicima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon prelaska na kvar, ako primarni podatkovni centar ponovno postane aktivan, ponovno postavite podatkovni centar u stanje pripravnosti u pasivni način slijedeći korake opisane u Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .

                                                                                                                                                  (Izborno) Isključite ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.

                                                                                                                                                  I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.

                                                                                                                                                  Prije početka

                                                                                                                                                  Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od svojih HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter poslužiteljskom uređaju odaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Ponovite redom za svaki HDS čvor.

                                                                                                                                                  Rješavanje problema sa sigurnošću hibridnih podataka
                                                                                                                                                  

                                                                                                                                                  Pregledajte upozorenja i rješavanje problema

                                                                                                                                                  Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:

                                                                                                                                                  • Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)

                                                                                                                                                  • Poruke i naslovi prostora ne mogu se dešifrirati za:

                                                                                                                                                    • Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

                                                                                                                                                  Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

                                                                                                                                                  Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspjeh pristupa lokalnoj bazi podataka.

                                                                                                                                                  Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.

                                                                                                                                                  neuspjelo povezivanje s lokalnom bazom podataka.

                                                                                                                                                  Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.

                                                                                                                                                  Neuspjeh pristupa usluzi u oblaku.

                                                                                                                                                  Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  Obnavljanje registracije usluge u oblaku.

                                                                                                                                                  Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.

                                                                                                                                                  Registracija usluge u oblaku je pala.

                                                                                                                                                  Registracija na usluge u oblaku je prekinuta. Usluga se gasi.

                                                                                                                                                  Usluga još nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.

                                                                                                                                                  Konfigurirana domena ne odgovara certifikat poslužitelja.

                                                                                                                                                  Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge.

                                                                                                                                                  Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.

                                                                                                                                                  Provjera autentičnosti na uslugama u oblaku nije uspjela.

                                                                                                                                                  Provjerite točnost i mogući istek vjerodajnica račun usluge .

                                                                                                                                                  Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.

                                                                                                                                                  Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.

                                                                                                                                                  certifikat poslužitelja nije važeći.

                                                                                                                                                  Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.

                                                                                                                                                  Nije moguće objaviti mjerne podatke.

                                                                                                                                                  Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.

                                                                                                                                                  /media/configdrive/hds direktorij ne postoji.

                                                                                                                                                  Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

                                                                                                                                                  Rješavanje problema sa sigurnošću hibridnih podataka

                                                                                                                                                  Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontaktirajte Ciscova podrška .

                                                                                                                                                  Ostale bilješke
                                                                                                                                                  

                                                                                                                                                  Poznati problemi za sigurnost hibridnih podataka

                                                                                                                                                  • Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

                                                                                                                                                    Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

                                                                                                                                                  Koristite OpenSSL za generiranje PKCS12 datoteke

                                                                                                                                                  Prije početka

                                                                                                                                                  • OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.

                                                                                                                                                  • Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.

                                                                                                                                                  • Napravite privatni ključ.

                                                                                                                                                  • Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada od CA primite certifikat poslužitelja , spremite ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite certifikat kao tekst i provjerite pojedinosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom hdsnode-bundle.pem. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Napravite .p12 datoteku s prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Provjerite pojedinosti certifikat poslužitelja .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke friendlyName: kms-private-key.

                                                                                                                                                    Primjer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

                                                                                                                                                  Promet između HDS čvorova i oblaka

                                                                                                                                                  Odlazni promet prikupljanja mjernih podataka

                                                                                                                                                  Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.

                                                                                                                                                  Ulazni promet

                                                                                                                                                  Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

                                                                                                                                                  • Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja

                                                                                                                                                  • Nadogradnje softvera čvora

                                                                                                                                                  Konfigurirajte Squid proxy za hibridnu sigurnost podataka

                                                                                                                                                  Websocket se ne može povezati putem Squid proxyja

                                                                                                                                                  Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss: prometa za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3.5.27

                                                                                                                                                  Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor
                                                                                                                                                  

                                                                                                                                                  Nove i promijenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Promjene napravljene

                                                                                                                                                  20. listopada 2023

                                                                                                                                                  07. kolovoza 2023

                                                                                                                                                  23. svibnja 2023

                                                                                                                                                  06. prosinca 2022

                                                                                                                                                  23. studenog 2022

                                                                                                                                                  13. listopada 2021

                                                                                                                                                  Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

                                                                                                                                                  24. lipnja 2021

                                                                                                                                                  Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

                                                                                                                                                  30. travnja 2021.

                                                                                                                                                  Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

                                                                                                                                                  24. veljače 2021

                                                                                                                                                  HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

                                                                                                                                                  2. veljače 2021

                                                                                                                                                  HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  11. siječnja 2021

                                                                                                                                                  Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  13. listopada 2020

                                                                                                                                                  Ažurirano Preuzmite instalacijske datoteke .

                                                                                                                                                  8. listopada 2020.

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

                                                                                                                                                  14. kolovoza 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

                                                                                                                                                  5. kolovoza 2020

                                                                                                                                                  Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

                                                                                                                                                  16. lipnja 2020

                                                                                                                                                  Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

                                                                                                                                                  4. lipnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

                                                                                                                                                  29. svibnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

                                                                                                                                                  5. svibnja 2020

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

                                                                                                                                                  21. travnja 2020

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

                                                                                                                                                  1. travnja 2020.

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

                                                                                                                                                  20. veljače 2020Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.
                                                                                                                                                  4. veljače 2020Ažurirano Zahtjevi proxy poslužitelja .
                                                                                                                                                  16. prosinca 2019.Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .
                                                                                                                                                  19. studenog 2019

                                                                                                                                                  Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

                                                                                                                                                  8. studenog 2019

                                                                                                                                                  Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

                                                                                                                                                  U skladu s tim ažurirani su sljedeći odjeljci:


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  6. rujna 2019

                                                                                                                                                  Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

                                                                                                                                                  29. kolovoza 2019.Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.
                                                                                                                                                  20. kolovoza 2019

                                                                                                                                                  Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

                                                                                                                                                  13. lipnja 2019Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika.
                                                                                                                                                  6. ožujka 2019
                                                                                                                                                  28. veljače 2019.
                                                                                                                                                  • Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

                                                                                                                                                  26. veljače 2019.
                                                                                                                                                  • Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.

                                                                                                                                                  • Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

                                                                                                                                                  24. siječnja 2019

                                                                                                                                                  • Hybrid Data Security sada podržava Microsoft SQL Server kao bazu podataka. SQL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržan je od strane JDBC upravljačkih programa koji se koriste u Hybrid Data Security. Dodan sadržaj vezan za implementaciju sa SQL Serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška za Microsoftov SQL poslužitelj namijenjena je samo novim implementacijama usluge Hybrid Data Security. Trenutačno ne podržavamo premještanje podataka s PostgreSQL na Microsoftov SQL poslužitelj u postojećoj implementaciji.

                                                                                                                                                  5. studenog 2018
                                                                                                                                                  19. listopada 2018

                                                                                                                                                  31. srpnja 2018

                                                                                                                                                  21. svibnja 2018.

                                                                                                                                                  Promijenjena terminologija koja odražava rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security sada je Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark sada je aplikacija Webex .

                                                                                                                                                  • Cisco Collaboraton Cloud sada je Webex oblak.

                                                                                                                                                  11. travnja 2018
                                                                                                                                                  22. veljače 2018
                                                                                                                                                  15. veljače 2018.
                                                                                                                                                  • U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

                                                                                                                                                  18. siječnja 2018.

                                                                                                                                                  2. studenog 2017

                                                                                                                                                  • Pojašnjena sinkronizacija imenika HdsTrialGroup.

                                                                                                                                                  • Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

                                                                                                                                                  18. kolovoza 2017

                                                                                                                                                  Prvi put objavljeno

                                                                                                                                                  Započnite s hibridnom sigurnošću podataka
                                                                                                                                                  

                                                                                                                                                  Pregled sigurnosti hibridnih podataka

                                                                                                                                                  Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

                                                                                                                                                  Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

                                                                                                                                                  Arhitektura sigurnosnog područja

                                                                                                                                                  Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

                                                                                                                                                  Carstva razdvajanja (bez hibridne sigurnosti podataka)

                                                                                                                                                  Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.

                                                                                                                                                  U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:

                                                                                                                                                  1. Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.

                                                                                                                                                  2. Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.

                                                                                                                                                  3. Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.

                                                                                                                                                  4. Šifrirana poruka je pohranjena u području pohrane.

                                                                                                                                                  Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.

                                                                                                                                                  Suradnja s drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

                                                                                                                                                  KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.

                                                                                                                                                  Očekivanja za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

                                                                                                                                                  Za implementaciju Hybrid Data Security morate osigurati:

                                                                                                                                                  Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.

                                                                                                                                                  • Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

                                                                                                                                                  Proces postavljanja na visokoj razini

                                                                                                                                                  Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

                                                                                                                                                  • Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.

                                                                                                                                                    Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.

                                                                                                                                                  • Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.

                                                                                                                                                  • Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.

                                                                                                                                                  Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni način sigurnosti hibridnih podataka

                                                                                                                                                  Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.

                                                                                                                                                  Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .

                                                                                                                                                  Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.

                                                                                                                                                  Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ručno prebacivanje u stanje pripravnosti podatkovnog centra

                                                                                                                                                  Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

                                                                                                                                                  Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

                                                                                                                                                  Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

                                                                                                                                                  Prije početka

                                                                                                                                                  • podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)

                                                                                                                                                  • Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon konfiguriranja passiveMode u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.

                                                                                                                                                  Podrška za proxy

                                                                                                                                                  Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.

                                                                                                                                                  Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

                                                                                                                                                  • Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:

                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:

                                                                                                                                                      • HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.

                                                                                                                                                      • HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo ako odaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                  Primjer hibridnih čvorova za sigurnost podataka i proxyja

                                                                                                                                                  Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.

                                                                                                                                                  Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

                                                                                                                                                  Pripremite svoje okruženje
                                                                                                                                                  

                                                                                                                                                  Zahtjevi za hibridnu sigurnost podataka

                                                                                                                                                  Zahtjevi za licencu Cisco Webex

                                                                                                                                                  Za implementaciju hibridne sigurnosti podataka:

                                                                                                                                                  Zahtjevi za Docker Desktop

                                                                                                                                                  Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".

                                                                                                                                                  X.509 Zahtjevi certifikata

                                                                                                                                                  lanac certifikata mora ispunjavati sljedeće zahtjeve:

                                                                                                                                                  Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Uvjet

                                                                                                                                                  Pojedinosti

                                                                                                                                                  • Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)

                                                                                                                                                  Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security

                                                                                                                                                  • Nije zamjenski certifikat

                                                                                                                                                  CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, hds.company.com.

                                                                                                                                                  CN ne smije sadržavati * (zamjenski znak).

                                                                                                                                                  CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima.

                                                                                                                                                  Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatirano kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime kms-private-key za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.

                                                                                                                                                  Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata.

                                                                                                                                                  Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

                                                                                                                                                  KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.

                                                                                                                                                  Zahtjevi virtualnog hosta

                                                                                                                                                  Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

                                                                                                                                                  • Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i radi.


                                                                                                                                                     

                                                                                                                                                    Morate nadograditi ako imate stariju verziju ESXi.

                                                                                                                                                  • Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

                                                                                                                                                  Zahtjevi poslužitelja baze podataka


                                                                                                                                                   

                                                                                                                                                  Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

                                                                                                                                                  Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

                                                                                                                                                  Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC drajver 42.2.5

                                                                                                                                                  SQL Server JDBC upravljački program 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

                                                                                                                                                  Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.

                                                                                                                                                  • Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.

                                                                                                                                                  • DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).

                                                                                                                                                  • Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

                                                                                                                                                    Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

                                                                                                                                                  Zahtjevi za vanjsko povezivanje

                                                                                                                                                  Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Priključak

                                                                                                                                                  Smjer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi hibridne sigurnosti podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  • Webex poslužitelji:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge

                                                                                                                                                  Alat za postavljanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

                                                                                                                                                  Regija

                                                                                                                                                  Uobičajeni URL-ovi hosta identiteta

                                                                                                                                                  Južna i Sjeverna Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtjevi proxy poslužitelja

                                                                                                                                                  • Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

                                                                                                                                                    • Transparentni proxy— Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .

                                                                                                                                                  • Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:

                                                                                                                                                    • Nema provjere autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Osnovna provjera autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Digest autentifikacija samo s HTTPS-om

                                                                                                                                                  • Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.

                                                                                                                                                  • Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.

                                                                                                                                                  • Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

                                                                                                                                                  Ispunite preduvjete za sigurnost hibridnih podataka

                                                                                                                                                  Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domene za svoju HDS implementaciju (na primjer, hds.company.com) i pribavite lanac certifikata sadrži certifikat X.509, privatni ključ i sve posredničke certifikate. lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta .

                                                                                                                                                  4

                                                                                                                                                  Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima.

                                                                                                                                                  1. Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)

                                                                                                                                                  2. Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                    • naziv ime organizatora ili IP adresa (host) i port

                                                                                                                                                    • naziv baze podataka (dbname) za pohranu ključeva

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a.

                                                                                                                                                  6

                                                                                                                                                  Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Budući da čvorovi Hybrid Data Security pohranjuju ključeve koji se koriste za šifriranje i dešifriranje sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NENAKNADIVI GUBITAK tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

                                                                                                                                                  8

                                                                                                                                                  Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  9

                                                                                                                                                  Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

                                                                                                                                                  Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  10

                                                                                                                                                  Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Datoteka HdsTrialGroup objekt mora biti sinkroniziran s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za sinkronizaciju grupnog objekta, odaberite ga u konektoru imenika Konfiguracija > Odabir objekta izbornik. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite trajno deaktivirati implementaciju Hybrid Data Security, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim korisničke aplikacije osvježe svoje kopije sadržaja u predmemoriji.

                                                                                                                                                  Postavite hibridni klaster sigurnosti podataka
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka implementacije hibridne sigurnosti podataka

                                                                                                                                                  1

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

                                                                                                                                                  2

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  5

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

                                                                                                                                                  8

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Dovršite postavljanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.


                                                                                                                                                   

                                                                                                                                                  Također možete preuzeti OVA u bilo kojem trenutku sa Pomoć odjeljak o Postavke stranica. Na kartici Hybrid Data Security kliknite Uredite postavke da otvorite stranicu. Zatim kliknite Preuzmite softver za hibridnu sigurnost podataka u Pomoć odjeljak.


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama Hybrid Data Security. To može dovesti do problema tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

                                                                                                                                                  OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
                                                                                                                                                  4

                                                                                                                                                  Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:

                                                                                                                                                    • Vjerodajnice baze podataka

                                                                                                                                                    • Ažuriranja certifikata

                                                                                                                                                    • Promjene u politici autorizacije

                                                                                                                                                  • Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                  • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

                                                                                                                                                  Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stranici Pregled alata za postavljanje kliknite Započnite .

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz stranicu, imate ove opcije:

                                                                                                                                                  • ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
                                                                                                                                                  • da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.
                                                                                                                                                  10

                                                                                                                                                  Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  • Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat u redu, kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

                                                                                                                                                  1. Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

                                                                                                                                                    Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .

                                                                                                                                                  2. ( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :

                                                                                                                                                    • Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.

                                                                                                                                                    • Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.

                                                                                                                                                  3. Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primjer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

                                                                                                                                                    Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433

                                                                                                                                                  4. Unesite Naziv baze podataka .

                                                                                                                                                  5. Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

                                                                                                                                                  12

                                                                                                                                                  Odaberite a TLS način povezivanja baze podataka :

                                                                                                                                                  Način rada

                                                                                                                                                  Opis

                                                                                                                                                  Radije TLS (zadana opcija)

                                                                                                                                                  HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

                                                                                                                                                  Zahtijevajte TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  Zahtijevajte TLS i potvrdite potpisnika certifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

                                                                                                                                                  1. Unesite URL poslužitelja syslog.

                                                                                                                                                    Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

                                                                                                                                                    Primjer:
                                                                                                                                                    udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
                                                                                                                                                  2. Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

                                                                                                                                                    Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP

                                                                                                                                                    • Null bajt -- \x00

                                                                                                                                                    • Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

                                                                                                                                                  Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

                                                                                                                                                  Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

                                                                                                                                                  2

                                                                                                                                                  Odaberite Datoteka > Postavite OVF predložak .

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

                                                                                                                                                  4

                                                                                                                                                  Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

                                                                                                                                                  Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

                                                                                                                                                  6

                                                                                                                                                  Provjerite detalje predloška, a zatim kliknite Dalje .

                                                                                                                                                  7

                                                                                                                                                  Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

                                                                                                                                                  8

                                                                                                                                                  Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

                                                                                                                                                  9

                                                                                                                                                  Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

                                                                                                                                                  • Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                    • Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.

                                                                                                                                                    • Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

                                                                                                                                                  • IP adresa — Unesite IP adresa za interno sučelje čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  • Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
                                                                                                                                                  • Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
                                                                                                                                                  • DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
                                                                                                                                                  • NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.
                                                                                                                                                  • Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

                                                                                                                                                  Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

                                                                                                                                                  Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

                                                                                                                                                  Savjeti za rješavanje problema

                                                                                                                                                  Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se.

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab.

                                                                                                                                                  VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
                                                                                                                                                  2

                                                                                                                                                  Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku:

                                                                                                                                                  1. Prijava: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.

                                                                                                                                                  4

                                                                                                                                                  Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  5

                                                                                                                                                  (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima.

                                                                                                                                                  Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                  6

                                                                                                                                                  Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  Prije početka

                                                                                                                                                  Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Prenesite ISO datoteku sa svog računala:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.

                                                                                                                                                  2. Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .

                                                                                                                                                  3. Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .

                                                                                                                                                  4. Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .

                                                                                                                                                  5. Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .

                                                                                                                                                  6. Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

                                                                                                                                                  2

                                                                                                                                                  Montirajte ISO datoteku:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  2. Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Povezano i Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i ponovno pokrenite virtualno računalo.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.

                                                                                                                                                  Prije početka

                                                                                                                                                  1

                                                                                                                                                  Unesite URL za postavljanje HDS čvora https://[HDS Node IP or FQDN]/setup u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Trust Store & Proxy , a zatim odaberite opciju:

                                                                                                                                                  • Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke:
                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                  Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy.

                                                                                                                                                  Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja.

                                                                                                                                                  Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .

                                                                                                                                                  5

                                                                                                                                                  Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni.

                                                                                                                                                  Čvor se ponovno pokreće u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu.

                                                                                                                                                  Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

                                                                                                                                                  Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Na izborniku na lijevoj strani zaslona odaberite Usluge .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite .

                                                                                                                                                  Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
                                                                                                                                                  4

                                                                                                                                                  Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor.

                                                                                                                                                  Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                  Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Idite na Node .

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nastavi u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                  Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno stvorite dodatne VM-ove i montirate istu konfiguracijsku ISO datoteku, a zatim registrirate čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .

                                                                                                                                                  4

                                                                                                                                                  Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte čvor.

                                                                                                                                                  1. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi .

                                                                                                                                                    Pojavljuje se stranica Resursi za sigurnost hibridnih podataka.
                                                                                                                                                  3. Kliknite Dodaj resurs .

                                                                                                                                                  4. U prvom polju odaberite naziv postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                    Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite Idite na Node .

                                                                                                                                                    Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  7. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                    Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  8. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka od probnog do proizvodnog

                                                                                                                                                  Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primjenjivo, sinkronizirajte HdsTrialGroup grupni objekt.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Provjerite status i postaviti obavijesti e-poštom za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  6

                                                                                                                                                  Dovršite probnu fazu jednom od sljedećih radnji:

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Prije početka

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Status usluge kliknite Započni suđenje .

                                                                                                                                                  Status usluge mijenja se u probni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja.

                                                                                                                                                  (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Postavite svoju implementaciju Hybrid Data Security.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

                                                                                                                                                  1

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan nakon zamjene predmemorije klijentskih kopija ključeva za šifriranje.

                                                                                                                                                  2

                                                                                                                                                  Šaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

                                                                                                                                                  1. Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog objekta KMS resursa (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Indikator indikator statusa unutar Control Huba pokazuje je li sve u redu s implementacijom Hybrid Data Security. Za proaktivnije upozorenje, registrirati se za obavijesti putem e-pošte. Bit ćete obaviješteni kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.
                                                                                                                                                  1

                                                                                                                                                  u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke .

                                                                                                                                                  Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
                                                                                                                                                  3

                                                                                                                                                  U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.

                                                                                                                                                  4

                                                                                                                                                  Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

                                                                                                                                                  Prijeđite s probnog na produkciju

                                                                                                                                                  Kada ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike, možete prijeći na proizvodnju. Kada prijeđete u proizvodnju, svi korisnici u organizaciji koristit će vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Ne možete se vratiti na probni način rada iz proizvodnje osim ako ne deaktivirate uslugu kao dio oporavka od oporavak od katastrofe. Ponovno aktiviranje usluge zahtijeva da postaviti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Status usluge kliknite Prijeđite u produkciju .

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

                                                                                                                                                  Završite probno razdoblje bez prelaska na produkciju

                                                                                                                                                  Ako tijekom probnog razdoblja odlučite ne nastaviti s implementacijom Hybrid Data Security, možete deaktivirati Hybrid Data Security, čime se završava probna verzija i premještaju korisnici probne verzije natrag na usluge sigurnosti podataka u oblaku. Korisnici probne verzije izgubit će pristup podacima koji su bili šifrirani tijekom probe.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Deaktiviraj kliknite Deaktiviraj .

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

                                                                                                                                                  Upravljajte svojom HDS implementacijom
                                                                                                                                                  

                                                                                                                                                  Upravljajte HDS implementacijom

                                                                                                                                                  Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

                                                                                                                                                  Postavite raspored nadogradnje klastera

                                                                                                                                                  Softverske nadogradnje za Hybrid Data Security obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verzija softvera. Nadogradnje se obavljaju prema rasporedu nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili koristiti zadani raspored od 3:00 AM u Sjedinjenim Državama: Amerika/Los Angeles. Također možete odabrati odgoditi nadolazeću nadogradnju, ako je potrebno.

                                                                                                                                                  Za postavljanje rasporeda nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Kontrolno čvorište .

                                                                                                                                                  2

                                                                                                                                                  Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje.

                                                                                                                                                  Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

                                                                                                                                                  Promijenite konfiguraciju čvora

                                                                                                                                                  Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:
                                                                                                                                                  • Promjena x.509 certifikata zbog isteka ili drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

                                                                                                                                                  • Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

                                                                                                                                                  • Izrada nove konfiguracije za pripremu novog podatkovni centar.

                                                                                                                                                  Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:

                                                                                                                                                  • Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.

                                                                                                                                                  • Hard reset —Stare lozinke odmah prestaju raditi.

                                                                                                                                                  Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

                                                                                                                                                  1. U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                    U uobičajenim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2. Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U uobičajenim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                    • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U uobičajenim okruženjima s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6. Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  7. Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.

                                                                                                                                                  8. Uvezite ISO datoteku trenutne konfiguracije.

                                                                                                                                                  9. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  10. Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

                                                                                                                                                  2

                                                                                                                                                  Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova .

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Postavite HDS VM.

                                                                                                                                                  3. Montirajte ažuriranu konfiguracijska datoteka.

                                                                                                                                                  4. Registrirajte novi čvor u Control Hubu.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora:

                                                                                                                                                  1. Isključite virtualno računalo.

                                                                                                                                                  2. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i uključite virtualno računalo.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

                                                                                                                                                  Isključite način razlučivanja blokiranog vanjskog DNS -a

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.

                                                                                                                                                  Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

                                                                                                                                                  Prije početka

                                                                                                                                                  Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.
                                                                                                                                                  1

                                                                                                                                                  U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Pregled (zadana stranica).

                                                                                                                                                  Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .

                                                                                                                                                  3

                                                                                                                                                  Idite na Trust Store & Proxy stranica.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu .

                                                                                                                                                  Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

                                                                                                                                                  Uklonite čvor

                                                                                                                                                  Upotrijebite ovaj postupak za uklanjanje čvora Hybrid Data Security iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup vašim sigurnosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.

                                                                                                                                                  3. Odaberite svoj klaster za prikaz njegove ploče Pregled.

                                                                                                                                                  4. Kliknite Otvorite popis čvorova .

                                                                                                                                                  5. Na kartici Čvorovi odaberite čvor koji želite ukloniti.

                                                                                                                                                  6. Kliknite Radnje > Odjavite čvor .

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

                                                                                                                                                  Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

                                                                                                                                                  Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.

                                                                                                                                                  Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:

                                                                                                                                                  Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite izlaz syslog kako biste provjerili da čvorovi podatkovni centar u stanju čekanja nisu u pasivnom načinu rada. "KMS konfiguriran u pasivnom načinu rada" ne bi se trebao pojaviti u sistemskim zapisnicima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon prelaska na kvar, ako primarni podatkovni centar ponovno postane aktivan, ponovno postavite podatkovni centar u stanje pripravnosti u pasivni način slijedeći korake opisane u Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .

                                                                                                                                                  (Izborno) Isključite ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.

                                                                                                                                                  I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.

                                                                                                                                                  Prije početka

                                                                                                                                                  Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od svojih HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter poslužiteljskom uređaju odaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Ponovite redom za svaki HDS čvor.

                                                                                                                                                  Rješavanje problema sa sigurnošću hibridnih podataka
                                                                                                                                                  

                                                                                                                                                  Pregledajte upozorenja i rješavanje problema

                                                                                                                                                  Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:

                                                                                                                                                  • Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)

                                                                                                                                                  • Poruke i naslovi prostora ne mogu se dešifrirati za:

                                                                                                                                                    • Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

                                                                                                                                                  Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

                                                                                                                                                  Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspjeh pristupa lokalnoj bazi podataka.

                                                                                                                                                  Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.

                                                                                                                                                  neuspjelo povezivanje s lokalnom bazom podataka.

                                                                                                                                                  Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.

                                                                                                                                                  Neuspjeh pristupa usluzi u oblaku.

                                                                                                                                                  Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  Obnavljanje registracije usluge u oblaku.

                                                                                                                                                  Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.

                                                                                                                                                  Registracija usluge u oblaku je pala.

                                                                                                                                                  Registracija na usluge u oblaku je prekinuta. Usluga se gasi.

                                                                                                                                                  Usluga još nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.

                                                                                                                                                  Konfigurirana domena ne odgovara certifikat poslužitelja.

                                                                                                                                                  Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge.

                                                                                                                                                  Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.

                                                                                                                                                  Provjera autentičnosti na uslugama u oblaku nije uspjela.

                                                                                                                                                  Provjerite točnost i mogući istek vjerodajnica račun usluge .

                                                                                                                                                  Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.

                                                                                                                                                  Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.

                                                                                                                                                  certifikat poslužitelja nije važeći.

                                                                                                                                                  Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.

                                                                                                                                                  Nije moguće objaviti mjerne podatke.

                                                                                                                                                  Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.

                                                                                                                                                  /media/configdrive/hds direktorij ne postoji.

                                                                                                                                                  Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

                                                                                                                                                  Rješavanje problema sa sigurnošću hibridnih podataka

                                                                                                                                                  Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontaktirajte Ciscova podrška .

                                                                                                                                                  Ostale bilješke
                                                                                                                                                  

                                                                                                                                                  Poznati problemi za sigurnost hibridnih podataka

                                                                                                                                                  • Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

                                                                                                                                                    Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

                                                                                                                                                  Koristite OpenSSL za generiranje PKCS12 datoteke

                                                                                                                                                  Prije početka

                                                                                                                                                  • OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.

                                                                                                                                                  • Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.

                                                                                                                                                  • Napravite privatni ključ.

                                                                                                                                                  • Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada od CA primite certifikat poslužitelja , spremite ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite certifikat kao tekst i provjerite pojedinosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom hdsnode-bundle.pem. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Napravite .p12 datoteku s prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Provjerite pojedinosti certifikat poslužitelja .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke friendlyName: kms-private-key.

                                                                                                                                                    Primjer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

                                                                                                                                                  Promet između HDS čvorova i oblaka

                                                                                                                                                  Odlazni promet prikupljanja mjernih podataka

                                                                                                                                                  Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.

                                                                                                                                                  Ulazni promet

                                                                                                                                                  Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

                                                                                                                                                  • Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja

                                                                                                                                                  • Nadogradnje softvera čvora

                                                                                                                                                  Konfigurirajte Squid proxy za hibridnu sigurnost podataka

                                                                                                                                                  Websocket se ne može povezati putem Squid proxyja

                                                                                                                                                  Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss: prometa za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3.5.27

                                                                                                                                                  Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor
                                                                                                                                                  

                                                                                                                                                  Nove i promijenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Promjene napravljene

                                                                                                                                                  20. listopada 2023

                                                                                                                                                  07. kolovoza 2023

                                                                                                                                                  23. svibnja 2023

                                                                                                                                                  06. prosinca 2022

                                                                                                                                                  23. studenog 2022

                                                                                                                                                  13. listopada 2021

                                                                                                                                                  Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

                                                                                                                                                  24. lipnja 2021

                                                                                                                                                  Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

                                                                                                                                                  30. travnja 2021.

                                                                                                                                                  Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

                                                                                                                                                  24. veljače 2021

                                                                                                                                                  HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

                                                                                                                                                  2. veljače 2021

                                                                                                                                                  HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  11. siječnja 2021

                                                                                                                                                  Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  13. listopada 2020

                                                                                                                                                  Ažurirano Preuzmite instalacijske datoteke .

                                                                                                                                                  8. listopada 2020.

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

                                                                                                                                                  14. kolovoza 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

                                                                                                                                                  5. kolovoza 2020

                                                                                                                                                  Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

                                                                                                                                                  16. lipnja 2020

                                                                                                                                                  Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

                                                                                                                                                  4. lipnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

                                                                                                                                                  29. svibnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

                                                                                                                                                  5. svibnja 2020

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

                                                                                                                                                  21. travnja 2020

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

                                                                                                                                                  1. travnja 2020.

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

                                                                                                                                                  20. veljače 2020Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.
                                                                                                                                                  4. veljače 2020Ažurirano Zahtjevi proxy poslužitelja .
                                                                                                                                                  16. prosinca 2019.Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .
                                                                                                                                                  19. studenog 2019

                                                                                                                                                  Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

                                                                                                                                                  8. studenog 2019

                                                                                                                                                  Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

                                                                                                                                                  U skladu s tim ažurirani su sljedeći odjeljci:


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  6. rujna 2019

                                                                                                                                                  Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

                                                                                                                                                  29. kolovoza 2019.Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.
                                                                                                                                                  20. kolovoza 2019

                                                                                                                                                  Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

                                                                                                                                                  13. lipnja 2019Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika.
                                                                                                                                                  6. ožujka 2019
                                                                                                                                                  28. veljače 2019.
                                                                                                                                                  • Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

                                                                                                                                                  26. veljače 2019.
                                                                                                                                                  • Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.

                                                                                                                                                  • Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

                                                                                                                                                  24. siječnja 2019

                                                                                                                                                  • Hybrid Data Security sada podržava Microsoft SQL Server kao bazu podataka. SQL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržan je od strane JDBC upravljačkih programa koji se koriste u Hybrid Data Security. Dodan sadržaj vezan za implementaciju sa SQL Serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška za Microsoftov SQL poslužitelj namijenjena je samo novim implementacijama usluge Hybrid Data Security. Trenutačno ne podržavamo premještanje podataka s PostgreSQL na Microsoftov SQL poslužitelj u postojećoj implementaciji.

                                                                                                                                                  5. studenog 2018
                                                                                                                                                  19. listopada 2018

                                                                                                                                                  31. srpnja 2018

                                                                                                                                                  21. svibnja 2018.

                                                                                                                                                  Promijenjena terminologija koja odražava rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security sada je Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark sada je aplikacija Webex .

                                                                                                                                                  • Cisco Collaboraton Cloud sada je Webex oblak.

                                                                                                                                                  11. travnja 2018
                                                                                                                                                  22. veljače 2018
                                                                                                                                                  15. veljače 2018.
                                                                                                                                                  • U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

                                                                                                                                                  18. siječnja 2018.

                                                                                                                                                  2. studenog 2017

                                                                                                                                                  • Pojašnjena sinkronizacija imenika HdsTrialGroup.

                                                                                                                                                  • Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

                                                                                                                                                  18. kolovoza 2017

                                                                                                                                                  Prvi put objavljeno

                                                                                                                                                  Započnite s hibridnom sigurnošću podataka
                                                                                                                                                  

                                                                                                                                                  Pregled sigurnosti hibridnih podataka

                                                                                                                                                  Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

                                                                                                                                                  Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

                                                                                                                                                  Arhitektura sigurnosnog područja

                                                                                                                                                  Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

                                                                                                                                                  Carstva razdvajanja (bez hibridne sigurnosti podataka)

                                                                                                                                                  Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.

                                                                                                                                                  U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:

                                                                                                                                                  1. Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.

                                                                                                                                                  2. Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.

                                                                                                                                                  3. Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.

                                                                                                                                                  4. Šifrirana poruka je pohranjena u području pohrane.

                                                                                                                                                  Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.

                                                                                                                                                  Suradnja s drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

                                                                                                                                                  KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.

                                                                                                                                                  Očekivanja za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

                                                                                                                                                  Za implementaciju Hybrid Data Security morate osigurati:

                                                                                                                                                  Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.

                                                                                                                                                  • Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

                                                                                                                                                  Proces postavljanja na visokoj razini

                                                                                                                                                  Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

                                                                                                                                                  • Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.

                                                                                                                                                    Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.

                                                                                                                                                  • Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.

                                                                                                                                                  • Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.

                                                                                                                                                  Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni način sigurnosti hibridnih podataka

                                                                                                                                                  Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.

                                                                                                                                                  Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .

                                                                                                                                                  Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.

                                                                                                                                                  Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ručno prebacivanje u stanje pripravnosti podatkovnog centra

                                                                                                                                                  Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

                                                                                                                                                  Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

                                                                                                                                                  Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

                                                                                                                                                  Prije početka

                                                                                                                                                  • podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)

                                                                                                                                                  • Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon konfiguriranja passiveMode u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.

                                                                                                                                                  Podrška za proxy

                                                                                                                                                  Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.

                                                                                                                                                  Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

                                                                                                                                                  • Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:

                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:

                                                                                                                                                      • HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.

                                                                                                                                                      • HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo ako odaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                  Primjer hibridnih čvorova za sigurnost podataka i proxyja

                                                                                                                                                  Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.

                                                                                                                                                  Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

                                                                                                                                                  Pripremite svoje okruženje
                                                                                                                                                  

                                                                                                                                                  Zahtjevi za hibridnu sigurnost podataka

                                                                                                                                                  Zahtjevi za licencu Cisco Webex

                                                                                                                                                  Za implementaciju hibridne sigurnosti podataka:

                                                                                                                                                  Zahtjevi za Docker Desktop

                                                                                                                                                  Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".

                                                                                                                                                  X.509 Zahtjevi certifikata

                                                                                                                                                  lanac certifikata mora ispunjavati sljedeće zahtjeve:

                                                                                                                                                  Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Uvjet

                                                                                                                                                  Pojedinosti

                                                                                                                                                  • Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)

                                                                                                                                                  Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security

                                                                                                                                                  • Nije zamjenski certifikat

                                                                                                                                                  CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, hds.company.com.

                                                                                                                                                  CN ne smije sadržavati * (zamjenski znak).

                                                                                                                                                  CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima.

                                                                                                                                                  Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatirano kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime kms-private-key za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.

                                                                                                                                                  Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata.

                                                                                                                                                  Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

                                                                                                                                                  KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.

                                                                                                                                                  Zahtjevi virtualnog hosta

                                                                                                                                                  Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

                                                                                                                                                  • Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i radi.


                                                                                                                                                     

                                                                                                                                                    Morate nadograditi ako imate stariju verziju ESXi.

                                                                                                                                                  • Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

                                                                                                                                                  Zahtjevi poslužitelja baze podataka


                                                                                                                                                   

                                                                                                                                                  Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

                                                                                                                                                  Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

                                                                                                                                                  Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC drajver 42.2.5

                                                                                                                                                  SQL Server JDBC upravljački program 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

                                                                                                                                                  Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.

                                                                                                                                                  • Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.

                                                                                                                                                  • DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).

                                                                                                                                                  • Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

                                                                                                                                                    Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

                                                                                                                                                  Zahtjevi za vanjsko povezivanje

                                                                                                                                                  Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Priključak

                                                                                                                                                  Smjer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi hibridne sigurnosti podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  • Webex poslužitelji:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge

                                                                                                                                                  Alat za postavljanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

                                                                                                                                                  Regija

                                                                                                                                                  Uobičajeni URL-ovi hosta identiteta

                                                                                                                                                  Južna i Sjeverna Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtjevi proxy poslužitelja

                                                                                                                                                  • Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

                                                                                                                                                    • Transparentni proxy— Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .

                                                                                                                                                  • Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:

                                                                                                                                                    • Nema provjere autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Osnovna provjera autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Digest autentifikacija samo s HTTPS-om

                                                                                                                                                  • Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.

                                                                                                                                                  • Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.

                                                                                                                                                  • Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

                                                                                                                                                  Ispunite preduvjete za sigurnost hibridnih podataka

                                                                                                                                                  Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domene za svoju HDS implementaciju (na primjer, hds.company.com) i pribavite lanac certifikata sadrži certifikat X.509, privatni ključ i sve posredničke certifikate. lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta .

                                                                                                                                                  4

                                                                                                                                                  Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima.

                                                                                                                                                  1. Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)

                                                                                                                                                  2. Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                    • naziv ime organizatora ili IP adresa (host) i port

                                                                                                                                                    • naziv baze podataka (dbname) za pohranu ključeva

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a.

                                                                                                                                                  6

                                                                                                                                                  Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Budući da čvorovi Hybrid Data Security pohranjuju ključeve koji se koriste za šifriranje i dešifriranje sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NENAKNADIVI GUBITAK tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

                                                                                                                                                  8

                                                                                                                                                  Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  9

                                                                                                                                                  Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

                                                                                                                                                  Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  10

                                                                                                                                                  Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Datoteka HdsTrialGroup objekt mora biti sinkroniziran s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za sinkronizaciju grupnog objekta, odaberite ga u konektoru imenika Konfiguracija > Odabir objekta izbornik. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite trajno deaktivirati implementaciju Hybrid Data Security, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim korisničke aplikacije osvježe svoje kopije sadržaja u predmemoriji.

                                                                                                                                                  Postavite hibridni klaster sigurnosti podataka
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka implementacije hibridne sigurnosti podataka

                                                                                                                                                  1

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

                                                                                                                                                  2

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  5

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

                                                                                                                                                  8

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Dovršite postavljanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.


                                                                                                                                                   

                                                                                                                                                  Također možete preuzeti OVA u bilo kojem trenutku sa Pomoć odjeljak o Postavke stranica. Na kartici Hybrid Data Security kliknite Uredite postavke da otvorite stranicu. Zatim kliknite Preuzmite softver za hibridnu sigurnost podataka u Pomoć odjeljak.


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama Hybrid Data Security. To može dovesti do problema tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

                                                                                                                                                  OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
                                                                                                                                                  4

                                                                                                                                                  Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:

                                                                                                                                                    • Vjerodajnice baze podataka

                                                                                                                                                    • Ažuriranja certifikata

                                                                                                                                                    • Promjene u politici autorizacije

                                                                                                                                                  • Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                  • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

                                                                                                                                                  Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stranici Pregled alata za postavljanje kliknite Započnite .

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz stranicu, imate ove opcije:

                                                                                                                                                  • ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
                                                                                                                                                  • da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.
                                                                                                                                                  10

                                                                                                                                                  Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  • Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat u redu, kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

                                                                                                                                                  1. Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

                                                                                                                                                    Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .

                                                                                                                                                  2. ( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :

                                                                                                                                                    • Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.

                                                                                                                                                    • Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.

                                                                                                                                                  3. Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primjer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

                                                                                                                                                    Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433

                                                                                                                                                  4. Unesite Naziv baze podataka .

                                                                                                                                                  5. Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

                                                                                                                                                  12

                                                                                                                                                  Odaberite a TLS način povezivanja baze podataka :

                                                                                                                                                  Način rada

                                                                                                                                                  Opis

                                                                                                                                                  Radije TLS (zadana opcija)

                                                                                                                                                  HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

                                                                                                                                                  Zahtijevajte TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  Zahtijevajte TLS i potvrdite potpisnika certifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

                                                                                                                                                  1. Unesite URL poslužitelja syslog.

                                                                                                                                                    Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

                                                                                                                                                    Primjer:
                                                                                                                                                    udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
                                                                                                                                                  2. Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

                                                                                                                                                    Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP

                                                                                                                                                    • Null bajt -- \x00

                                                                                                                                                    • Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

                                                                                                                                                  Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

                                                                                                                                                  Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

                                                                                                                                                  2

                                                                                                                                                  Odaberite Datoteka > Postavite OVF predložak .

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

                                                                                                                                                  4

                                                                                                                                                  Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

                                                                                                                                                  Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

                                                                                                                                                  6

                                                                                                                                                  Provjerite detalje predloška, a zatim kliknite Dalje .

                                                                                                                                                  7

                                                                                                                                                  Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

                                                                                                                                                  8

                                                                                                                                                  Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

                                                                                                                                                  9

                                                                                                                                                  Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

                                                                                                                                                  • Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                    • Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.

                                                                                                                                                    • Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

                                                                                                                                                  • IP adresa — Unesite IP adresa za interno sučelje čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  • Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
                                                                                                                                                  • Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
                                                                                                                                                  • DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
                                                                                                                                                  • NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.
                                                                                                                                                  • Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

                                                                                                                                                  Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

                                                                                                                                                  Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

                                                                                                                                                  Savjeti za rješavanje problema

                                                                                                                                                  Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se.

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab.

                                                                                                                                                  VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
                                                                                                                                                  2

                                                                                                                                                  Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku:

                                                                                                                                                  1. Prijava: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.

                                                                                                                                                  4

                                                                                                                                                  Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  5

                                                                                                                                                  (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima.

                                                                                                                                                  Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                  6

                                                                                                                                                  Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  Prije početka

                                                                                                                                                  Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Prenesite ISO datoteku sa svog računala:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.

                                                                                                                                                  2. Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .

                                                                                                                                                  3. Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .

                                                                                                                                                  4. Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .

                                                                                                                                                  5. Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .

                                                                                                                                                  6. Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

                                                                                                                                                  2

                                                                                                                                                  Montirajte ISO datoteku:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  2. Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Povezano i Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i ponovno pokrenite virtualno računalo.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.

                                                                                                                                                  Prije početka

                                                                                                                                                  1

                                                                                                                                                  Unesite URL za postavljanje HDS čvora https://[HDS Node IP or FQDN]/setup u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Trust Store & Proxy , a zatim odaberite opciju:

                                                                                                                                                  • Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke:
                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                  Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy.

                                                                                                                                                  Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja.

                                                                                                                                                  Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .

                                                                                                                                                  5

                                                                                                                                                  Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni.

                                                                                                                                                  Čvor se ponovno pokreće u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu.

                                                                                                                                                  Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

                                                                                                                                                  Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Na izborniku na lijevoj strani zaslona odaberite Usluge .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite .

                                                                                                                                                  Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
                                                                                                                                                  4

                                                                                                                                                  Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor.

                                                                                                                                                  Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                  Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Idite na Node .

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nastavi u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                  Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno stvorite dodatne VM-ove i montirate istu konfiguracijsku ISO datoteku, a zatim registrirate čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .

                                                                                                                                                  4

                                                                                                                                                  Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte čvor.

                                                                                                                                                  1. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi .

                                                                                                                                                    Pojavljuje se stranica Resursi za sigurnost hibridnih podataka.
                                                                                                                                                  3. Kliknite Dodaj resurs .

                                                                                                                                                  4. U prvom polju odaberite naziv postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                    Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite Idite na Node .

                                                                                                                                                    Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  7. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                    Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  8. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka od probnog do proizvodnog

                                                                                                                                                  Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primjenjivo, sinkronizirajte HdsTrialGroup grupni objekt.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Provjerite status i postaviti obavijesti e-poštom za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  6

                                                                                                                                                  Dovršite probnu fazu jednom od sljedećih radnji:

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Prije početka

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Status usluge kliknite Započni suđenje .

                                                                                                                                                  Status usluge mijenja se u probni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja.

                                                                                                                                                  (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Postavite svoju implementaciju Hybrid Data Security.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

                                                                                                                                                  1

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan nakon zamjene predmemorije klijentskih kopija ključeva za šifriranje.

                                                                                                                                                  2

                                                                                                                                                  Šaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

                                                                                                                                                  1. Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog objekta KMS resursa (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebali biste pronaći unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Indikator indikator statusa unutar Control Huba pokazuje je li sve u redu s implementacijom Hybrid Data Security. Za proaktivnije upozorenje, registrirati se za obavijesti putem e-pošte. Bit ćete obaviješteni kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.
                                                                                                                                                  1

                                                                                                                                                  u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke .

                                                                                                                                                  Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
                                                                                                                                                  3

                                                                                                                                                  U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.

                                                                                                                                                  4

                                                                                                                                                  Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

                                                                                                                                                  Prijeđite s probnog na produkciju

                                                                                                                                                  Kada ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike, možete prijeći na proizvodnju. Kada prijeđete u proizvodnju, svi korisnici u organizaciji koristit će vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Ne možete se vratiti na probni način rada iz proizvodnje osim ako ne deaktivirate uslugu kao dio oporavka od oporavak od katastrofe. Ponovno aktiviranje usluge zahtijeva da postaviti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Status usluge kliknite Prijeđite u produkciju .

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

                                                                                                                                                  Završite probno razdoblje bez prelaska na produkciju

                                                                                                                                                  Ako tijekom probnog razdoblja odlučite ne nastaviti s implementacijom Hybrid Data Security, možete deaktivirati Hybrid Data Security, čime se završava probna verzija i premještaju korisnici probne verzije natrag na usluge sigurnosti podataka u oblaku. Korisnici probne verzije izgubit će pristup podacima koji su bili šifrirani tijekom probe.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2

                                                                                                                                                  Pod Hybrid Data Security kliknite Postavke .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Deaktiviraj kliknite Deaktiviraj .

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

                                                                                                                                                  Upravljajte svojom HDS implementacijom
                                                                                                                                                  

                                                                                                                                                  Upravljajte HDS implementacijom

                                                                                                                                                  Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

                                                                                                                                                  Postavite raspored nadogradnje klastera

                                                                                                                                                  Softverske nadogradnje za Hybrid Data Security obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verzija softvera. Nadogradnje se obavljaju prema rasporedu nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili koristiti zadani raspored od 3:00 AM u Sjedinjenim Državama: Amerika/Los Angeles. Također možete odabrati odgoditi nadolazeću nadogradnju, ako je potrebno.

                                                                                                                                                  Za postavljanje rasporeda nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Kontrolno čvorište .

                                                                                                                                                  2

                                                                                                                                                  Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje.

                                                                                                                                                  Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

                                                                                                                                                  Promijenite konfiguraciju čvora

                                                                                                                                                  Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:
                                                                                                                                                  • Promjena x.509 certifikata zbog isteka ili drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

                                                                                                                                                  • Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

                                                                                                                                                  • Izrada nove konfiguracije za pripremu novog podatkovni centar.

                                                                                                                                                  Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:

                                                                                                                                                  • Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.

                                                                                                                                                  • Hard reset —Stare lozinke odmah prestaju raditi.

                                                                                                                                                  Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

                                                                                                                                                  1. U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                    U uobičajenim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2. Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U uobičajenim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                    • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U uobičajenim okruženjima s HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6. Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  7. Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.

                                                                                                                                                  8. Uvezite ISO datoteku trenutne konfiguracije.

                                                                                                                                                  9. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  10. Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

                                                                                                                                                  2

                                                                                                                                                  Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova .

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Postavite HDS VM.

                                                                                                                                                  3. Montirajte ažuriranu konfiguracijska datoteka.

                                                                                                                                                  4. Registrirajte novi čvor u Control Hubu.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora:

                                                                                                                                                  1. Isključite virtualno računalo.

                                                                                                                                                  2. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i uključite virtualno računalo.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

                                                                                                                                                  Isključite način razlučivanja blokiranog vanjskog DNS -a

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.

                                                                                                                                                  Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

                                                                                                                                                  Prije početka

                                                                                                                                                  Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.
                                                                                                                                                  1

                                                                                                                                                  U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Pregled (zadana stranica).

                                                                                                                                                  Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .

                                                                                                                                                  3

                                                                                                                                                  Idite na Trust Store & Proxy stranica.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu .

                                                                                                                                                  Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

                                                                                                                                                  Uklonite čvor

                                                                                                                                                  Upotrijebite ovaj postupak za uklanjanje čvora Hybrid Data Security iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup vašim sigurnosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim odaberite Usluge .

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.

                                                                                                                                                  3. Odaberite svoj klaster za prikaz njegove ploče Pregled.

                                                                                                                                                  4. Kliknite Otvorite popis čvorova .

                                                                                                                                                  5. Na kartici Čvorovi odaberite čvor koji želite ukloniti.

                                                                                                                                                  6. Kliknite Radnje > Odjavite čvor .

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

                                                                                                                                                  Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

                                                                                                                                                  Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.

                                                                                                                                                  Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:

                                                                                                                                                  Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite izlaz syslog kako biste provjerili da čvorovi podatkovni centar u stanju čekanja nisu u pasivnom načinu rada. "KMS konfiguriran u pasivnom načinu rada" ne bi se trebao pojaviti u sistemskim zapisnicima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon prelaska na kvar, ako primarni podatkovni centar ponovno postane aktivan, ponovno postavite podatkovni centar u stanje pripravnosti u pasivni način slijedeći korake opisane u Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .

                                                                                                                                                  (Izborno) Isključite ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.

                                                                                                                                                  I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.

                                                                                                                                                  Prije početka

                                                                                                                                                  Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od svojih HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter poslužiteljskom uređaju odaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Ponovite redom za svaki HDS čvor.

                                                                                                                                                  Rješavanje problema sa sigurnošću hibridnih podataka
                                                                                                                                                  

                                                                                                                                                  Pregledajte upozorenja i rješavanje problema

                                                                                                                                                  Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:

                                                                                                                                                  • Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)

                                                                                                                                                  • Poruke i naslovi prostora ne mogu se dešifrirati za:

                                                                                                                                                    • Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

                                                                                                                                                  Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

                                                                                                                                                  Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspjeh pristupa lokalnoj bazi podataka.

                                                                                                                                                  Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.

                                                                                                                                                  neuspjelo povezivanje s lokalnom bazom podataka.

                                                                                                                                                  Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.

                                                                                                                                                  Neuspjeh pristupa usluzi u oblaku.

                                                                                                                                                  Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  Obnavljanje registracije usluge u oblaku.

                                                                                                                                                  Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.

                                                                                                                                                  Registracija usluge u oblaku je pala.

                                                                                                                                                  Registracija na usluge u oblaku je prekinuta. Usluga se gasi.

                                                                                                                                                  Usluga još nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.

                                                                                                                                                  Konfigurirana domena ne odgovara certifikat poslužitelja.

                                                                                                                                                  Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge.

                                                                                                                                                  Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.

                                                                                                                                                  Provjera autentičnosti na uslugama u oblaku nije uspjela.

                                                                                                                                                  Provjerite točnost i mogući istek vjerodajnica račun usluge .

                                                                                                                                                  Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.

                                                                                                                                                  Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.

                                                                                                                                                  certifikat poslužitelja nije važeći.

                                                                                                                                                  Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.

                                                                                                                                                  Nije moguće objaviti mjerne podatke.

                                                                                                                                                  Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.

                                                                                                                                                  /media/configdrive/hds direktorij ne postoji.

                                                                                                                                                  Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

                                                                                                                                                  Rješavanje problema sa sigurnošću hibridnih podataka

                                                                                                                                                  Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontaktirajte Ciscova podrška .

                                                                                                                                                  Ostale bilješke
                                                                                                                                                  

                                                                                                                                                  Poznati problemi za sigurnost hibridnih podataka

                                                                                                                                                  • Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

                                                                                                                                                    Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

                                                                                                                                                  Koristite OpenSSL za generiranje PKCS12 datoteke

                                                                                                                                                  Prije početka

                                                                                                                                                  • OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.

                                                                                                                                                  • Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.

                                                                                                                                                  • Napravite privatni ključ.

                                                                                                                                                  • Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada od CA primite certifikat poslužitelja , spremite ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite certifikat kao tekst i provjerite pojedinosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom hdsnode-bundle.pem. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Napravite .p12 datoteku s prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Provjerite pojedinosti certifikat poslužitelja .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke friendlyName: kms-private-key.

                                                                                                                                                    Primjer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

                                                                                                                                                  Promet između HDS čvorova i oblaka

                                                                                                                                                  Odlazni promet prikupljanja mjernih podataka

                                                                                                                                                  Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.

                                                                                                                                                  Ulazni promet

                                                                                                                                                  Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

                                                                                                                                                  • Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja

                                                                                                                                                  • Nadogradnje softvera čvora

                                                                                                                                                  Konfigurirajte Squid proxy za hibridnu sigurnost podataka

                                                                                                                                                  Websocket se ne može povezati putem Squid proxyja

                                                                                                                                                  Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss: prometa za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3.5.27

                                                                                                                                                  Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor
                                                                                                                                                  

                                                                                                                                                  Nove i promijenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Promjene napravljene

                                                                                                                                                  20. listopada 2023

                                                                                                                                                  07. kolovoza 2023

                                                                                                                                                  23. svibnja 2023

                                                                                                                                                  06. prosinca 2022

                                                                                                                                                  23. studenog 2022

                                                                                                                                                  13. listopada 2021

                                                                                                                                                  Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

                                                                                                                                                  24. lipnja 2021

                                                                                                                                                  Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

                                                                                                                                                  30. travnja 2021.

                                                                                                                                                  Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

                                                                                                                                                  24. veljače 2021

                                                                                                                                                  HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

                                                                                                                                                  2. veljače 2021

                                                                                                                                                  HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  11. siječnja 2021

                                                                                                                                                  Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

                                                                                                                                                  13. listopada 2020

                                                                                                                                                  Ažurirano Preuzmite instalacijske datoteke .

                                                                                                                                                  8. listopada 2020.

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

                                                                                                                                                  14. kolovoza 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

                                                                                                                                                  5. kolovoza 2020

                                                                                                                                                  Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

                                                                                                                                                  16. lipnja 2020

                                                                                                                                                  Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

                                                                                                                                                  4. lipnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

                                                                                                                                                  29. svibnja 2020

                                                                                                                                                  Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

                                                                                                                                                  5. svibnja 2020

                                                                                                                                                  Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

                                                                                                                                                  21. travnja 2020

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

                                                                                                                                                  1. travnja 2020.

                                                                                                                                                  Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

                                                                                                                                                  20. veljače 2020Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.
                                                                                                                                                  4. veljače 2020Ažurirano Zahtjevi proxy poslužitelja .
                                                                                                                                                  16. prosinca 2019.Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .
                                                                                                                                                  19. studenog 2019

                                                                                                                                                  Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

                                                                                                                                                  8. studenog 2019

                                                                                                                                                  Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

                                                                                                                                                  U skladu s tim ažurirani su sljedeći odjeljci:


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  6. rujna 2019

                                                                                                                                                  Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

                                                                                                                                                  29. kolovoza 2019.Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.
                                                                                                                                                  20. kolovoza 2019

                                                                                                                                                  Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

                                                                                                                                                  13. lipnja 2019Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika.
                                                                                                                                                  6. ožujka 2019
                                                                                                                                                  28. veljače 2019.
                                                                                                                                                  • Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

                                                                                                                                                  26. veljače 2019.
                                                                                                                                                  • Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.

                                                                                                                                                  • Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

                                                                                                                                                  24. siječnja 2019

                                                                                                                                                  • Hybrid Data Security sada podržava Microsoft SQL Server kao bazu podataka. SQL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržan je od strane JDBC upravljačkih programa koji se koriste u Hybrid Data Security. Dodan sadržaj vezan za implementaciju sa SQL Serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška za Microsoftov SQL poslužitelj namijenjena je samo novim implementacijama usluge Hybrid Data Security. Trenutačno ne podržavamo premještanje podataka s PostgreSQL na Microsoftov SQL poslužitelj u postojećoj implementaciji.

                                                                                                                                                  5. studenog 2018
                                                                                                                                                  19. listopada 2018

                                                                                                                                                  31. srpnja 2018

                                                                                                                                                  21. svibnja 2018.

                                                                                                                                                  Promijenjena terminologija koja odražava rebranding Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security sada je Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark sada je aplikacija Webex .

                                                                                                                                                  • Cisco Collaboraton Cloud sada je Webex oblak.

                                                                                                                                                  11. travnja 2018
                                                                                                                                                  22. veljače 2018
                                                                                                                                                  15. veljače 2018.
                                                                                                                                                  • U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

                                                                                                                                                  18. siječnja 2018.

                                                                                                                                                  2. studenog 2017

                                                                                                                                                  • Pojašnjena sinkronizacija imenika HdsTrialGroup.

                                                                                                                                                  • Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

                                                                                                                                                  18. kolovoza 2017

                                                                                                                                                  Prvi put objavljeno

                                                                                                                                                  Započnite s hibridnom sigurnošću podataka
                                                                                                                                                  

                                                                                                                                                  Pregled sigurnosti hibridnih podataka

                                                                                                                                                  Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

                                                                                                                                                  Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

                                                                                                                                                  Arhitektura sigurnosnog područja

                                                                                                                                                  Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

                                                                                                                                                  Carstva razdvajanja (bez hibridne sigurnosti podataka)

                                                                                                                                                  Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.

                                                                                                                                                  U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:

                                                                                                                                                  1. Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.

                                                                                                                                                  2. Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.

                                                                                                                                                  3. Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.

                                                                                                                                                  4. Šifrirana poruka je pohranjena u području pohrane.

                                                                                                                                                  Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.

                                                                                                                                                  Suradnja s drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

                                                                                                                                                  KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.

                                                                                                                                                  Očekivanja za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

                                                                                                                                                  Za implementaciju Hybrid Data Security morate osigurati:

                                                                                                                                                  Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.

                                                                                                                                                  • Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

                                                                                                                                                  Proces postavljanja na visokoj razini

                                                                                                                                                  Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

                                                                                                                                                  • Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.

                                                                                                                                                    Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.

                                                                                                                                                  • Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.

                                                                                                                                                  • Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.

                                                                                                                                                  Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

                                                                                                                                                  Model implementacije hibridne sigurnosti podataka

                                                                                                                                                  Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni način sigurnosti hibridnih podataka

                                                                                                                                                  Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.

                                                                                                                                                  Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .

                                                                                                                                                  Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.

                                                                                                                                                  Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ručno prebacivanje u stanje pripravnosti podatkovnog centra

                                                                                                                                                  Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

                                                                                                                                                  Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

                                                                                                                                                  Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

                                                                                                                                                  Prije početka

                                                                                                                                                  • podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)

                                                                                                                                                  • Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .


                                                                                                                                                   

                                                                                                                                                  ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

                                                                                                                                                  3

                                                                                                                                                  Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.


                                                                                                                                                   

                                                                                                                                                  Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Nakon konfiguriranja passiveMode u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.

                                                                                                                                                  Podrška za proxy

                                                                                                                                                  Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.

                                                                                                                                                  Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

                                                                                                                                                  • Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.

                                                                                                                                                  • Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:

                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:

                                                                                                                                                      • HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.

                                                                                                                                                      • HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo ako odaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

                                                                                                                                                  Primjer hibridnih čvorova za sigurnost podataka i proxyja

                                                                                                                                                  Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.

                                                                                                                                                  Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

                                                                                                                                                  Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

                                                                                                                                                  Pripremite svoje okruženje
                                                                                                                                                  

                                                                                                                                                  Zahtjevi za hibridnu sigurnost podataka

                                                                                                                                                  Zahtjevi za licencu Cisco Webex

                                                                                                                                                  Za implementaciju hibridne sigurnosti podataka:

                                                                                                                                                  Zahtjevi za Docker Desktop

                                                                                                                                                  Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".

                                                                                                                                                  X.509 Zahtjevi certifikata

                                                                                                                                                  lanac certifikata mora ispunjavati sljedeće zahtjeve:

                                                                                                                                                  Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka

                                                                                                                                                  Uvjet

                                                                                                                                                  Pojedinosti

                                                                                                                                                  • Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)

                                                                                                                                                  Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security

                                                                                                                                                  • Nije zamjenski certifikat

                                                                                                                                                  CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, hds.company.com.

                                                                                                                                                  CN ne smije sadržavati * (zamjenski znak).

                                                                                                                                                  CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima.

                                                                                                                                                  Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatirano kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime kms-private-key za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.

                                                                                                                                                  Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata.

                                                                                                                                                  Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

                                                                                                                                                  KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.

                                                                                                                                                  Zahtjevi virtualnog hosta

                                                                                                                                                  Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

                                                                                                                                                  • Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i radi.


                                                                                                                                                     

                                                                                                                                                    Morate nadograditi ako imate stariju verziju ESXi.

                                                                                                                                                  • Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

                                                                                                                                                  Zahtjevi poslužitelja baze podataka


                                                                                                                                                   

                                                                                                                                                  Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

                                                                                                                                                  Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

                                                                                                                                                  Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

                                                                                                                                                  HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC drajver 42.2.5

                                                                                                                                                  SQL Server JDBC upravljački program 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

                                                                                                                                                  Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.

                                                                                                                                                  • Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.

                                                                                                                                                  • DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).

                                                                                                                                                  • Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

                                                                                                                                                    Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

                                                                                                                                                  Zahtjevi za vanjsko povezivanje

                                                                                                                                                  Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Priključak

                                                                                                                                                  Smjer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi hibridne sigurnosti podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  • Webex poslužitelji:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge

                                                                                                                                                  Alat za postavljanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi hostovi Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

                                                                                                                                                  Regija

                                                                                                                                                  Uobičajeni URL-ovi hosta identiteta

                                                                                                                                                  Južna i Sjeverna Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtjevi proxy poslužitelja

                                                                                                                                                  • Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

                                                                                                                                                    • Transparentni proxy— Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .

                                                                                                                                                  • Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:

                                                                                                                                                    • Nema provjere autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Osnovna provjera autentičnosti s HTTP ili HTTPS

                                                                                                                                                    • Digest autentifikacija samo s HTTPS-om

                                                                                                                                                  • Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.

                                                                                                                                                  • Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.

                                                                                                                                                  • Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

                                                                                                                                                  Ispunite preduvjete za sigurnost hibridnih podataka

                                                                                                                                                  Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domene za svoju HDS implementaciju (na primjer, hds.company.com) i pribavite lanac certifikata sadrži certifikat X.509, privatni ključ i sve posredničke certifikate. lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta .

                                                                                                                                                  4

                                                                                                                                                  Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima.

                                                                                                                                                  1. Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)

                                                                                                                                                  2. Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:

                                                                                                                                                    • naziv ime organizatora ili IP adresa (host) i port

                                                                                                                                                    • naziv baze podataka (dbname) za pohranu ključeva

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a.

                                                                                                                                                  6

                                                                                                                                                  Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Budući da čvorovi Hybrid Data Security pohranjuju ključeve koji se koriste za šifriranje i dešifriranje sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NENAKNADIVI GUBITAK tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

                                                                                                                                                  8

                                                                                                                                                  Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  9

                                                                                                                                                  Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

                                                                                                                                                  Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

                                                                                                                                                  10

                                                                                                                                                  Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Datoteka HdsTrialGroup objekt mora biti sinkroniziran s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za sinkronizaciju grupnog objekta, odaberite ga u konektoru imenika Konfiguracija > Odabir objekta izbornik. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ključeve za dati prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite trajno deaktivirati implementaciju Hybrid Data Security, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim korisničke aplikacije osvježe svoje kopije sadržaja u predmemoriji.

                                                                                                                                                  Postavite hibridni klaster sigurnosti podataka
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka implementacije hibridne sigurnosti podataka

                                                                                                                                                  1

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

                                                                                                                                                  2

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  5

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

                                                                                                                                                  8

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Dovršite postavljanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Preuzmite instalacijske datoteke

                                                                                                                                                  U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

                                                                                                                                                  2

                                                                                                                                                  U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.


                                                                                                                                                   

                                                                                                                                                  Također možete preuzeti OVA u bilo kojem trenutku sa Pomoć odjeljak o Postavke stranica. Na kartici Hybrid Data Security kliknite Uredite postavke da otvorite stranicu. Zatim kliknite Preuzmite softver za hibridnu sigurnost podataka u Pomoć odjeljak.


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama Hybrid Data Security. To može dovesti do problema tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

                                                                                                                                                  OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
                                                                                                                                                  4

                                                                                                                                                  Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

                                                                                                                                                  Izradite konfiguracijski ISO za HDS hostove

                                                                                                                                                  Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Varijabla

                                                                                                                                                    HTTP proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez autentifikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s autentifikacijom

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:

                                                                                                                                                    • Vjerodajnice baze podataka

                                                                                                                                                    • Ažuriranja certifikata

                                                                                                                                                    • Promjene u politici autorizacije

                                                                                                                                                  • Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijaviti se registar Docker slika, unesite sljedeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U uobičajenim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

                                                                                                                                                  • U uobičajenim okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U uobičajenim okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTP proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima s HTTPS proxyjem:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

                                                                                                                                                  Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

                                                                                                                                                  Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stranici Pregled alata za postavljanje kliknite Započnite .

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz stranicu, imate ove opcije:

                                                                                                                                                  • ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
                                                                                                                                                  • da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.
                                                                                                                                                  10

                                                                                                                                                  Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

                                                                                                                                                  • Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat u redu, kliknite Nastavi .
                                                                                                                                                  • Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

                                                                                                                                                  1. Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

                                                                                                                                                    Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .

                                                                                                                                                  2. ( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :

                                                                                                                                                    • Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.

                                                                                                                                                    • Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.

                                                                                                                                                  3. Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primjer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

                                                                                                                                                    Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433

                                                                                                                                                  4. Unesite Naziv baze podataka .

                                                                                                                                                  5. Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

                                                                                                                                                  12

                                                                                                                                                  Odaberite a TLS način povezivanja baze podataka :

                                                                                                                                                  Način rada

                                                                                                                                                  Opis

                                                                                                                                                  Radije TLS (zadana opcija)

                                                                                                                                                  HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

                                                                                                                                                  Zahtijevajte TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  Zahtijevajte TLS i potvrdite potpisnika certifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

                                                                                                                                                  Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

                                                                                                                                                  Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

                                                                                                                                                  1. Unesite URL poslužitelja syslog.

                                                                                                                                                    Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

                                                                                                                                                    Primjer:
                                                                                                                                                    udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
                                                                                                                                                  2. Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

                                                                                                                                                    Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP

                                                                                                                                                    • Null bajt -- \x00

                                                                                                                                                    • Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

                                                                                                                                                  Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

                                                                                                                                                  Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alat za postavljanje, upišite CTRL+C.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

                                                                                                                                                  Instalirajte HDS Host OVA

                                                                                                                                                  Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

                                                                                                                                                  2

                                                                                                                                                  Odaberite Datoteka > Postavite OVF predložak .

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

                                                                                                                                                  4

                                                                                                                                                  Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

                                                                                                                                                  Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

                                                                                                                                                  6

                                                                                                                                                  Provjerite detalje predloška, a zatim kliknite Dalje .

                                                                                                                                                  7

                                                                                                                                                  Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

                                                                                                                                                  8

                                                                                                                                                  Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

                                                                                                                                                  9

                                                                                                                                                  Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

                                                                                                                                                  • Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                    • Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.

                                                                                                                                                    • Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

                                                                                                                                                  • IP adresa — Unesite IP adresa za interno sučelje čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  • Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
                                                                                                                                                  • Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
                                                                                                                                                  • DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
                                                                                                                                                  • NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.
                                                                                                                                                  • Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

                                                                                                                                                  Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

                                                                                                                                                  Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

                                                                                                                                                  Savjeti za rješavanje problema

                                                                                                                                                  Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se.

                                                                                                                                                  Postavite VM za hibridnu sigurnost podataka

                                                                                                                                                  Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab.

                                                                                                                                                  VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
                                                                                                                                                  2

                                                                                                                                                  Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku:

                                                                                                                                                  1. Prijava: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.

                                                                                                                                                  4

                                                                                                                                                  Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.

                                                                                                                                                  5

                                                                                                                                                  (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima.

                                                                                                                                                  Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.

                                                                                                                                                  6

                                                                                                                                                  Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

                                                                                                                                                  Prenesite i montirajte ISO konfiguraciju HDS-a

                                                                                                                                                  Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

                                                                                                                                                  Prije početka

                                                                                                                                                  Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Prenesite ISO datoteku sa svog računala:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.

                                                                                                                                                  2. Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .

                                                                                                                                                  3. Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .

                                                                                                                                                  4. Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .

                                                                                                                                                  5. Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .

                                                                                                                                                  6. Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

                                                                                                                                                  2

                                                                                                                                                  Montirajte ISO datoteku:

                                                                                                                                                  1. U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .

                                                                                                                                                  2. Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.

                                                                                                                                                  4. Provjerite Povezano i Spojite se pri uključenju .

                                                                                                                                                  5. Spremite promjene i ponovno pokrenite virtualno računalo.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

                                                                                                                                                  Konfigurirajte HDS čvor za proxy integraciju

                                                                                                                                                  Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.

                                                                                                                                                  Prije početka

                                                                                                                                                  1

                                                                                                                                                  Unesite URL za postavljanje HDS čvora https://[HDS Node IP or FQDN]/setup u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .

                                                                                                                                                  2

                                                                                                                                                  Idi na Trust Store & Proxy , a zatim odaberite opciju:

                                                                                                                                                  • Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
                                                                                                                                                  • Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke:
                                                                                                                                                    1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.

                                                                                                                                                    2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.

                                                                                                                                                    3. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava.

                                                                                                                                                    4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:

                                                                                                                                                      • Ništa — nije potrebna daljnja provjera autentičnosti.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                      • Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku.

                                                                                                                                                  Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy.

                                                                                                                                                  Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja.

                                                                                                                                                  Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .

                                                                                                                                                  5

                                                                                                                                                  Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni.

                                                                                                                                                  Čvor se ponovno pokreće u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu.

                                                                                                                                                  Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

                                                                                                                                                  Registrirajte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

                                                                                                                                                  Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Na izborniku na lijevoj strani zaslona odaberite Usluge .

                                                                                                                                                  3

                                                                                                                                                  U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite .

                                                                                                                                                  Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
                                                                                                                                                  4

                                                                                                                                                  Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor.

                                                                                                                                                  Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                  Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Idite na Node .

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nastavi u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                  Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Stvorite i registrirajte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno stvorite dodatne VM-ove i montirate istu konfiguracijsku ISO datoteku, a zatim registrirate čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

                                                                                                                                                  Prije početka

                                                                                                                                                  • Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.

                                                                                                                                                  • Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .

                                                                                                                                                  3

                                                                                                                                                  Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .

                                                                                                                                                  4

                                                                                                                                                  Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte čvor.

                                                                                                                                                  1. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona.

                                                                                                                                                  2. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi .

                                                                                                                                                    Pojavljuje se stranica Resursi za sigurnost hibridnih podataka.
                                                                                                                                                  3. Kliknite Dodaj resurs .

                                                                                                                                                  4. U prvom polju odaberite naziv postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje .

                                                                                                                                                    Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite Idite na Node .

                                                                                                                                                    Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru.
                                                                                                                                                  7. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi .

                                                                                                                                                    Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
                                                                                                                                                  8. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security.

                                                                                                                                                  Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

                                                                                                                                                  Što učiniti sljedeće

                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i prijeđite u produkciju
                                                                                                                                                  

                                                                                                                                                  Tijek zadatka od probnog do proizvodnog

                                                                                                                                                  Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primjenjivo, sinkronizirajte HdsTrialGroup grupni objekt.

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte svoju implementaciju sigurnosti hibridnih podataka

                                                                                                                                                  Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Pratite zdravlje hibridne sigurnosti podataka

                                                                                                                                                  Provjerite status i postaviti obavijesti e-poštom za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ili uklonite korisnike iz svoje probne verzije

                                                                                                                                                  6

                                                                                                                                                  Dovršite probnu fazu jednom od sljedećih radnji:

                                                                                                                                                  Aktivirajte probnu verziju

                                                                                                                                                  Prije početka

                                                                                                                                                  Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na