- Početak
- /
- Članak
Nove i promijenjene informacije
Datum | Promjene napravljene | ||
---|---|---|---|
20. listopada 2023 |
| ||
07. kolovoza 2023 |
| ||
23. svibnja 2023 |
| ||
06. prosinca 2022 |
| ||
23. studenog 2022 |
| ||
13. listopada 2021 | Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop . | ||
24. lipnja 2021 | Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje. | ||
30. travnja 2021. | Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje. | ||
24. veljače 2021 | HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje. | ||
2. veljače 2021 | HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje. | ||
11. siječnja 2021 | Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove . | ||
13. listopada 2020 | Ažurirano Preuzmite instalacijske datoteke . | ||
8. listopada 2020. | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja. | ||
14. kolovoza 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave. | ||
5. kolovoza 2020 | Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika. Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova. | ||
16. lipnja 2020 | Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub. | ||
4. lipnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti. | ||
29. svibnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima. | ||
5. svibnja 2020 | Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5. | ||
21. travnja 2020 | Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI. | ||
1. travnja 2020. | Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima. | ||
20. veljače 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a. | ||
4. veljače 2020 | Ažurirano Zahtjevi proxy poslužitelja . | ||
16. prosinca 2019. | Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja . | ||
19. studenog 2019 | Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima: | ||
8. studenog 2019 | Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije. U skladu s tim ažurirani su sljedeći odjeljci:
| ||
6. rujna 2019 | Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka . | ||
29. kolovoza 2019. | Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada. | ||
20. kolovoza 2019 | Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex . Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći. | ||
13. lipnja 2019 | Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika. | ||
6. ožujka 2019 |
| ||
28. veljače 2019. |
| ||
26. veljače 2019. |
| ||
24. siječnja 2019 |
| ||
5. studenog 2018 |
| ||
19. listopada 2018 |
| ||
31. srpnja 2018 |
| ||
21. svibnja 2018. | Promijenjena terminologija koja odražava rebranding Cisco Spark:
| ||
11. travnja 2018 |
| ||
22. veljače 2018 |
| ||
15. veljače 2018. |
| ||
18. siječnja 2018. |
| ||
2. studenog 2017 |
| ||
18. kolovoza 2017 | Prvi put objavljeno |
Pregled sigurnosti hibridnih podataka
Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.
Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.
Arhitektura sigurnosnog područja
Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.
Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.
U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:
Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.
Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.
Suradnja s drugim organizacijama
Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.
KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.
Očekivanja za implementaciju hibridne sigurnosti podataka
Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.
Za implementaciju Hybrid Data Security morate osigurati:
Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .
Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:
Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .
Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a. |
Proces postavljanja na visokoj razini
Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:
Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.
Model implementacije hibridne sigurnosti podataka
Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.
Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)
Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)
Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.
Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.
Podržavamo samo jedan klaster po organizaciji.
Probni način sigurnosti hibridnih podataka
Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.
Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .
Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.
Podatkovni centar u stanju pripravnosti za oporavak od katastrofe
Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.
Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.
Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka. |
Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe
Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:
Prije početka
podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .
| ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
Nakon konfiguriranja passiveMode
u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode
konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode
konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.
Podrška za proxy
Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.
Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:
Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
Ništa — nije potrebna daljnja provjera autentičnosti.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
Dostupno samo ako odaberete HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Primjer hibridnih čvorova za sigurnost podataka i proxyja
Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.
Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.
Zahtjevi za hibridnu sigurnost podataka
Zahtjevi za licencu Cisco Webex
Za implementaciju hibridne sigurnosti podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)
Zahtjevi za Docker Desktop
Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".
X.509 Zahtjevi certifikata
lanac certifikata mora ispunjavati sljedeće zahtjeve:
Uvjet | Pojedinosti |
---|---|
| Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju. |
| KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija. |
| Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool. |
KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.
Zahtjevi virtualnog hosta
Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:
Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.
Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju
Zahtjevi poslužitelja baze podataka
Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka. |
Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) | Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) |
HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC drajver 42.2.5 | SQL Server JDBC upravljački program 4.6 Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ). |
Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru
Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:
HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .
Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.
Zahtjevi za vanjsko povezivanje
Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:
Aplikacija | Protokol | Priključak | Smjer iz aplikacije | Odredište |
---|---|---|---|---|
Čvorovi hibridne sigurnosti podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alat za postavljanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe. |
URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:
Regija | Uobičajeni URL-ovi hosta identiteta |
---|---|
Južna i Sjeverna Amerika |
|
Europska unija |
|
Kanada |
|
Zahtjevi proxy poslužitelja
Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.
Transparentni proxy— Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .
Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
Nema provjere autentičnosti s HTTP ili HTTPS
Osnovna provjera autentičnosti s HTTP ili HTTPS
Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do
wbx2.com
iciscospark.com
riješit će problem.
Ispunite preduvjete za sigurnost hibridnih podataka
1 | Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu. | ||
2 | Odaberite naziv domene za svoju HDS implementaciju (na primjer, | ||
3 | Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta . | ||
4 | Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima. | ||
5 | Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. | ||
6 | Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514). | ||
7 | Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.
Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara. | ||
8 | Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje . | ||
9 | Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080. Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija. Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje . | ||
10 | Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja . | ||
11 | Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom
|
Tijek zadatka implementacije hibridne sigurnosti podataka
Prije početka
1 | Preuzmite instalacijske datoteke Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu. | ||
2 | Izradite konfiguracijski ISO za HDS hostove Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security. | ||
3 |
Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.
| ||
4 | Postavite VM za hibridnu sigurnost podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA. | ||
5 | Prenesite i montirajte ISO konfiguraciju HDS-a Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a. | ||
6 | Konfigurirajte HDS čvor za proxy integraciju Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno. | ||
7 | Registrirajte prvi čvor u klasteru Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka. | ||
8 | Stvorite i registrirajte više čvorova Dovršite postavljanje klastera. | ||
9 | Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana. |
Preuzmite instalacijske datoteke
1 | Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge . | ||||
2 | U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite . Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.
| ||||
3 | Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje . OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
| ||||
4 | Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča. |
Izradite konfiguracijski ISO za HDS hostove
Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
Vjerodajnice baze podataka
Ažuriranja certifikata
Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.
1 | U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
2 | Da biste se prijaviti se registar Docker slika, unesite sljedeće:
| ||||||||||||
3 | Na upit za lozinku unesite ovaj hash:
| ||||||||||||
4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
5 | Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:
Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080." | ||||||||||||
6 |
Upotrijebite web preglednik da idite na lokalni host, Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu. | ||||||||||||
7 | Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security. | ||||||||||||
8 | Na stranici Pregled alata za postavljanje kliknite Započnite . | ||||||||||||
9 | Na ISO uvoz stranicu, imate ove opcije:
| ||||||||||||
10 | Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .
| ||||||||||||
11 | Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka: | ||||||||||||
12 | Odaberite a TLS način povezivanja baze podataka :
Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.) | ||||||||||||
13 | Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj: | ||||||||||||
14 | (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:
| ||||||||||||
15 | Kliknite Nastavi na Poništi lozinku za račune usluge zaslon. Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke. | ||||||||||||
16 | Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći. | ||||||||||||
17 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||||||||||||
18 | Da biste isključili alat za postavljanje, upišite |
Što učiniti sljedeće
Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.
Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite. |
Instalirajte HDS Host OVA
1 | Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host. | ||||||
2 | Odaberite Datoteka > Postavite OVF predložak . | ||||||
3 | U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje . | ||||||
4 | Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje . | ||||||
5 | Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje . Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška. | ||||||
6 | Provjerite detalje predloška, a zatim kliknite Dalje . | ||||||
7 | Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje . | ||||||
8 | Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a. | ||||||
9 | Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om. | ||||||
10 | Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:
Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.
| ||||||
11 | Desnom tipkom miša kliknite VM čvora, a zatim odaberite .Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora. Savjeti za rješavanje problema Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se. |
Postavite VM za hibridnu sigurnost podataka
Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.
1 | U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
|
2 | Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora. |
3 | Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija. |
4 | Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan. |
5 | (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. |
6 | Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu. |
Prenesite i montirajte ISO konfiguraciju HDS-a
Prije početka
Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.
1 | Prenesite ISO datoteku sa svog računala: |
2 | Montirajte ISO datoteku: |
Što učiniti sljedeće
Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.
Konfigurirajte HDS čvor za proxy integraciju
Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.
Prije početka
vidi Podrška za proxy za pregled podržanih proxy opcija.
1 | Unesite URL za postavljanje HDS čvora |
2 | Idi na Trust Store & Proxy , a zatim odaberite opciju:
Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy. |
3 | Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku. |
4 | Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a . |
5 | Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu. |
6 | Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta. |
7 | Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju. |
Registrirajte prvi čvor u klasteru
Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Prijavite se na https://admin.webex.com. |
2 | Na izborniku na lijevoj strani zaslona odaberite Usluge . |
3 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
|
4 | Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje . |
5 | U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas" |
6 | U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
|
7 | Kliknite Idite na Node . |
8 | Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
|
9 | Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
|
10 | Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Stvorite i registrirajte više čvorova
U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja . |
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA . |
2 | Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka . |
3 | Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a . |
4 | Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor. |
5 | Registrirajte čvor. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
|
Što učiniti sljedeće
Tijek zadatka od probnog do proizvodnog
Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.
Prije početka
1 | Ako je primjenjivo, sinkronizirajte Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati |
2 |
Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana. |
3 | Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security. |
4 | Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme. |
5 | |
6 | Dovršite probnu fazu jednom od sljedećih radnji: |
Aktivirajte probnu verziju
Prije početka
Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup
grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
1 | Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
|
4 | Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, |
Testirajte svoju implementaciju sigurnosti hibridnih podataka
Prije početka
Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.
1 | Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.
| ||
2 | Šaljite poruke u novi prostor. | ||
3 | Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji. |
Pratite zdravlje hibridne sigurnosti podataka
1 | u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona. |
2 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
|
3 | U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi . |
Dodajte ili uklonite korisnike iz svoje probne verzije
Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.
Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup
; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe. |
4 | Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi . |
Prijeđite s probnog na produkciju
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Status usluge kliknite Prijeđite u produkciju . |
4 | Potvrdite da sve svoje korisnike želite premjestiti u produkciju. |
Završite probno razdoblje bez prelaska na produkciju
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Deaktiviraj kliknite Deaktiviraj . |
4 | Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje. |
Upravljajte HDS implementacijom
Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.
Postavite raspored nadogradnje klastera
Za postavljanje rasporeda nadogradnje:
1 | Prijavite se na Kontrolno čvorište . |
2 | Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka . |
3 | Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster. |
4 | Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera. |
5 | Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi . |
Promijenite konfiguraciju čvora
Promjena x.509 certifikata zbog isteka ili drugih razloga.
Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.
Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.
Izrada nove konfiguracije za pripremu novog podatkovni centar.
Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:
Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.
Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.
Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.
1 | Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a. |
2 | Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova . |
3 | Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: |
4 | Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju. |
Isključite način razlučivanja blokiranog vanjskog DNS -a
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.
Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.
Prije početka
1 | U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se . |
2 | Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da . |
3 | Idite na Trust Store & Proxy stranica. |
4 | Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br. |
Što učiniti sljedeće
Uklonite čvor
1 | Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo. |
2 | Uklonite čvor: |
3 | U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .) Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima. |
Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja
Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.
Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:
Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove . | ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
(Izborno) Isključite ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.
I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.
Prije početka
Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.
1 | Isključite jedan od svojih HDS čvorova. |
2 | U vCenter poslužiteljskom uređaju odaberite HDS čvor. |
3 | Odaberite ISO datoteka skladišta podataka . i poništite odabir |
4 | Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta. |
5 | Ponovite redom za svaki HDS čvor. |
Pregledajte upozorenja i rješavanje problema
Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:
Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje
Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.
Upozorenja
Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.
Upozorenje | Radnja |
---|---|
Neuspjeh pristupa lokalnoj bazi podataka. |
Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom. |
neuspjelo povezivanje s lokalnom bazom podataka. |
Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora. |
Neuspjeh pristupa usluzi u oblaku. |
Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje . |
Obnavljanje registracije usluge u oblaku. |
Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku. |
Registracija usluge u oblaku je pala. |
Registracija na usluge u oblaku je prekinuta. Usluga se gasi. |
Usluga još nije aktivirana. |
Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju. |
Konfigurirana domena ne odgovara certifikat poslužitelja. |
Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja. |
Provjera autentičnosti na uslugama u oblaku nije uspjela. |
Provjerite točnost i mogući istek vjerodajnica račun usluge . |
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo. |
Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva. |
certifikat poslužitelja nije važeći. |
Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata. |
Nije moguće objaviti mjerne podatke. |
Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku. |
/media/configdrive/hds direktorij ne postoji. |
Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira. |
Rješavanje problema sa sigurnošću hibridnih podataka
1 | Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete. |
2 | Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security. |
3 | Kontaktirajte Ciscova podrška . |
Poznati problemi za sigurnost hibridnih podataka
Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.
Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).
Koristite OpenSSL za generiranje PKCS12 datoteke
Prije početka
OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).
1 | Kada od CA primite certifikat poslužitelja , spremite ga kao |
2 | Prikažite certifikat kao tekst i provjerite pojedinosti.
|
3 | Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom
|
4 | Napravite .p12 datoteku s prijateljskim imenom
|
5 | Provjerite pojedinosti certifikat poslužitelja . |
Što učiniti sljedeće
Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12
datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .
Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne. |
Promet između HDS čvorova i oblaka
Odlazni promet prikupljanja mjernih podataka
Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.
Ulazni promet
Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:
Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora
Konfigurirajte Squid proxy za hibridnu sigurnost podataka
Websocket se ne može povezati putem Squid proxyja
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:
) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss:
prometa za pravilan rad usluga.
Lignje 4 i 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignje 3.5.27
Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf
. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove i promijenjene informacije
Datum | Promjene napravljene | ||
---|---|---|---|
20. listopada 2023 |
| ||
07. kolovoza 2023 |
| ||
23. svibnja 2023 |
| ||
06. prosinca 2022 |
| ||
23. studenog 2022 |
| ||
13. listopada 2021 | Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop . | ||
24. lipnja 2021 | Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje. | ||
30. travnja 2021. | Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje. | ||
24. veljače 2021 | HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje. | ||
2. veljače 2021 | HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje. | ||
11. siječnja 2021 | Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove . | ||
13. listopada 2020 | Ažurirano Preuzmite instalacijske datoteke . | ||
8. listopada 2020. | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja. | ||
14. kolovoza 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave. | ||
5. kolovoza 2020 | Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika. Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova. | ||
16. lipnja 2020 | Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub. | ||
4. lipnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti. | ||
29. svibnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima. | ||
5. svibnja 2020 | Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5. | ||
21. travnja 2020 | Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI. | ||
1. travnja 2020. | Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima. | ||
20. veljače 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a. | ||
4. veljače 2020 | Ažurirano Zahtjevi proxy poslužitelja . | ||
16. prosinca 2019. | Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja . | ||
19. studenog 2019 | Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima: | ||
8. studenog 2019 | Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije. U skladu s tim ažurirani su sljedeći odjeljci:
| ||
6. rujna 2019 | Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka . | ||
29. kolovoza 2019. | Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada. | ||
20. kolovoza 2019 | Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex . Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći. | ||
13. lipnja 2019 | Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika. | ||
6. ožujka 2019 |
| ||
28. veljače 2019. |
| ||
26. veljače 2019. |
| ||
24. siječnja 2019 |
| ||
5. studenog 2018 |
| ||
19. listopada 2018 |
| ||
31. srpnja 2018 |
| ||
21. svibnja 2018. | Promijenjena terminologija koja odražava rebranding Cisco Spark:
| ||
11. travnja 2018 |
| ||
22. veljače 2018 |
| ||
15. veljače 2018. |
| ||
18. siječnja 2018. |
| ||
2. studenog 2017 |
| ||
18. kolovoza 2017 | Prvi put objavljeno |
Pregled sigurnosti hibridnih podataka
Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.
Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.
Arhitektura sigurnosnog područja
Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.
Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.
U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:
Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.
Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.
Suradnja s drugim organizacijama
Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.
KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.
Očekivanja za implementaciju hibridne sigurnosti podataka
Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.
Za implementaciju Hybrid Data Security morate osigurati:
Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .
Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:
Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .
Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a. |
Proces postavljanja na visokoj razini
Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:
Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.
Model implementacije hibridne sigurnosti podataka
Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.
Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)
Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)
Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.
Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.
Podržavamo samo jedan klaster po organizaciji.
Probni način sigurnosti hibridnih podataka
Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.
Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .
Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.
Podatkovni centar u stanju pripravnosti za oporavak od katastrofe
Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.
Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.
Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka. |
Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe
Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:
Prije početka
podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .
| ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
Nakon konfiguriranja passiveMode
u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode
konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode
konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.
Podrška za proxy
Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.
Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:
Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
Ništa — nije potrebna daljnja provjera autentičnosti.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
Dostupno samo ako odaberete HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Primjer hibridnih čvorova za sigurnost podataka i proxyja
Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.
Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.
Zahtjevi za hibridnu sigurnost podataka
Zahtjevi za licencu Cisco Webex
Za implementaciju hibridne sigurnosti podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)
Zahtjevi za Docker Desktop
Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".
X.509 Zahtjevi certifikata
lanac certifikata mora ispunjavati sljedeće zahtjeve:
Uvjet | Pojedinosti |
---|---|
| Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju. |
| KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija. |
| Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool. |
KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.
Zahtjevi virtualnog hosta
Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:
Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.
Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju
Zahtjevi poslužitelja baze podataka
Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka. |
Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) | Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) |
HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC drajver 42.2.5 | SQL Server JDBC upravljački program 4.6 Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ). |
Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru
Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:
HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .
Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.
Zahtjevi za vanjsko povezivanje
Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:
Aplikacija | Protokol | Priključak | Smjer iz aplikacije | Odredište |
---|---|---|---|---|
Čvorovi hibridne sigurnosti podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alat za postavljanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe. |
URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:
Regija | Uobičajeni URL-ovi hosta identiteta |
---|---|
Južna i Sjeverna Amerika |
|
Europska unija |
|
Kanada |
|
Zahtjevi proxy poslužitelja
Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.
Transparentni proxy— Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .
Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
Nema provjere autentičnosti s HTTP ili HTTPS
Osnovna provjera autentičnosti s HTTP ili HTTPS
Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do
wbx2.com
iciscospark.com
riješit će problem.
Ispunite preduvjete za sigurnost hibridnih podataka
1 | Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu. | ||
2 | Odaberite naziv domene za svoju HDS implementaciju (na primjer, | ||
3 | Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta . | ||
4 | Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima. | ||
5 | Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. | ||
6 | Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514). | ||
7 | Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.
Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara. | ||
8 | Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje . | ||
9 | Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080. Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija. Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje . | ||
10 | Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja . | ||
11 | Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom
|
Tijek zadatka implementacije hibridne sigurnosti podataka
Prije početka
1 | Preuzmite instalacijske datoteke Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu. | ||
2 | Izradite konfiguracijski ISO za HDS hostove Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security. | ||
3 |
Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.
| ||
4 | Postavite VM za hibridnu sigurnost podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA. | ||
5 | Prenesite i montirajte ISO konfiguraciju HDS-a Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a. | ||
6 | Konfigurirajte HDS čvor za proxy integraciju Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno. | ||
7 | Registrirajte prvi čvor u klasteru Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka. | ||
8 | Stvorite i registrirajte više čvorova Dovršite postavljanje klastera. | ||
9 | Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana. |
Preuzmite instalacijske datoteke
1 | Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge . | ||||
2 | U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite . Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.
| ||||
3 | Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje . OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
| ||||
4 | Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča. |
Izradite konfiguracijski ISO za HDS hostove
Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
Vjerodajnice baze podataka
Ažuriranja certifikata
Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.
1 | U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
2 | Da biste se prijaviti se registar Docker slika, unesite sljedeće:
| ||||||||||||
3 | Na upit za lozinku unesite ovaj hash:
| ||||||||||||
4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
5 | Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:
Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080." | ||||||||||||
6 |
Upotrijebite web preglednik da idite na lokalni host, Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu. | ||||||||||||
7 | Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security. | ||||||||||||
8 | Na stranici Pregled alata za postavljanje kliknite Započnite . | ||||||||||||
9 | Na ISO uvoz stranicu, imate ove opcije:
| ||||||||||||
10 | Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .
| ||||||||||||
11 | Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka: | ||||||||||||
12 | Odaberite a TLS način povezivanja baze podataka :
Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.) | ||||||||||||
13 | Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj: | ||||||||||||
14 | (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:
| ||||||||||||
15 | Kliknite Nastavi na Poništi lozinku za račune usluge zaslon. Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke. | ||||||||||||
16 | Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći. | ||||||||||||
17 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||||||||||||
18 | Da biste isključili alat za postavljanje, upišite |
Što učiniti sljedeće
Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.
Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite. |
Instalirajte HDS Host OVA
1 | Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host. | ||||||
2 | Odaberite Datoteka > Postavite OVF predložak . | ||||||
3 | U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje . | ||||||
4 | Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje . | ||||||
5 | Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje . Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška. | ||||||
6 | Provjerite detalje predloška, a zatim kliknite Dalje . | ||||||
7 | Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje . | ||||||
8 | Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a. | ||||||
9 | Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om. | ||||||
10 | Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:
Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.
| ||||||
11 | Desnom tipkom miša kliknite VM čvora, a zatim odaberite .Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora. Savjeti za rješavanje problema Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se. |
Postavite VM za hibridnu sigurnost podataka
Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.
1 | U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
|
2 | Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora. |
3 | Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija. |
4 | Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan. |
5 | (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. |
6 | Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu. |
Prenesite i montirajte ISO konfiguraciju HDS-a
Prije početka
Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.
1 | Prenesite ISO datoteku sa svog računala: |
2 | Montirajte ISO datoteku: |
Što učiniti sljedeće
Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.
Konfigurirajte HDS čvor za proxy integraciju
Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.
Prije početka
vidi Podrška za proxy za pregled podržanih proxy opcija.
1 | Unesite URL za postavljanje HDS čvora |
2 | Idi na Trust Store & Proxy , a zatim odaberite opciju:
Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy. |
3 | Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku. |
4 | Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a . |
5 | Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu. |
6 | Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta. |
7 | Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju. |
Registrirajte prvi čvor u klasteru
Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Prijavite se na https://admin.webex.com. |
2 | Na izborniku na lijevoj strani zaslona odaberite Usluge . |
3 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
|
4 | Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje . |
5 | U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas" |
6 | U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
|
7 | Kliknite Idite na Node . |
8 | Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
|
9 | Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
|
10 | Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Stvorite i registrirajte više čvorova
U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja . |
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA . |
2 | Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka . |
3 | Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a . |
4 | Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor. |
5 | Registrirajte čvor. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
|
Što učiniti sljedeće
Tijek zadatka od probnog do proizvodnog
Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.
Prije početka
1 | Ako je primjenjivo, sinkronizirajte Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati |
2 |
Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana. |
3 | Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security. |
4 | Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme. |
5 | |
6 | Dovršite probnu fazu jednom od sljedećih radnji: |
Aktivirajte probnu verziju
Prije početka
Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup
grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
1 | Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
|
4 | Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, |
Testirajte svoju implementaciju sigurnosti hibridnih podataka
Prije početka
Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.
1 | Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.
| ||
2 | Šaljite poruke u novi prostor. | ||
3 | Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji. |
Pratite zdravlje hibridne sigurnosti podataka
1 | u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona. |
2 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
|
3 | U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi . |
Dodajte ili uklonite korisnike iz svoje probne verzije
Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.
Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup
; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe. |
4 | Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi . |
Prijeđite s probnog na produkciju
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Status usluge kliknite Prijeđite u produkciju . |
4 | Potvrdite da sve svoje korisnike želite premjestiti u produkciju. |
Završite probno razdoblje bez prelaska na produkciju
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Deaktiviraj kliknite Deaktiviraj . |
4 | Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje. |
Upravljajte HDS implementacijom
Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.
Postavite raspored nadogradnje klastera
Za postavljanje rasporeda nadogradnje:
1 | Prijavite se na Kontrolno čvorište . |
2 | Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka . |
3 | Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster. |
4 | Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera. |
5 | Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi . |
Promijenite konfiguraciju čvora
Promjena x.509 certifikata zbog isteka ili drugih razloga.
Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.
Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.
Izrada nove konfiguracije za pripremu novog podatkovni centar.
Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:
Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.
Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.
Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.
1 | Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a. |
2 | Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova . |
3 | Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: |
4 | Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju. |
Isključite način razlučivanja blokiranog vanjskog DNS -a
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.
Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.
Prije početka
1 | U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se . |
2 | Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da . |
3 | Idite na Trust Store & Proxy stranica. |
4 | Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br. |
Što učiniti sljedeće
Uklonite čvor
1 | Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo. |
2 | Uklonite čvor: |
3 | U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .) Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima. |
Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja
Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.
Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:
Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove . | ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
(Izborno) Isključite ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.
I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.
Prije početka
Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.
1 | Isključite jedan od svojih HDS čvorova. |
2 | U vCenter poslužiteljskom uređaju odaberite HDS čvor. |
3 | Odaberite ISO datoteka skladišta podataka . i poništite odabir |
4 | Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta. |
5 | Ponovite redom za svaki HDS čvor. |
Pregledajte upozorenja i rješavanje problema
Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:
Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje
Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.
Upozorenja
Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.
Upozorenje | Radnja |
---|---|
Neuspjeh pristupa lokalnoj bazi podataka. |
Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom. |
neuspjelo povezivanje s lokalnom bazom podataka. |
Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora. |
Neuspjeh pristupa usluzi u oblaku. |
Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje . |
Obnavljanje registracije usluge u oblaku. |
Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku. |
Registracija usluge u oblaku je pala. |
Registracija na usluge u oblaku je prekinuta. Usluga se gasi. |
Usluga još nije aktivirana. |
Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju. |
Konfigurirana domena ne odgovara certifikat poslužitelja. |
Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja. |
Provjera autentičnosti na uslugama u oblaku nije uspjela. |
Provjerite točnost i mogući istek vjerodajnica račun usluge . |
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo. |
Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva. |
certifikat poslužitelja nije važeći. |
Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata. |
Nije moguće objaviti mjerne podatke. |
Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku. |
/media/configdrive/hds direktorij ne postoji. |
Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira. |
Rješavanje problema sa sigurnošću hibridnih podataka
1 | Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete. |
2 | Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security. |
3 | Kontaktirajte Ciscova podrška . |
Poznati problemi za sigurnost hibridnih podataka
Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.
Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).
Koristite OpenSSL za generiranje PKCS12 datoteke
Prije početka
OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).
1 | Kada od CA primite certifikat poslužitelja , spremite ga kao |
2 | Prikažite certifikat kao tekst i provjerite pojedinosti.
|
3 | Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom
|
4 | Napravite .p12 datoteku s prijateljskim imenom
|
5 | Provjerite pojedinosti certifikat poslužitelja . |
Što učiniti sljedeće
Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12
datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .
Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne. |
Promet između HDS čvorova i oblaka
Odlazni promet prikupljanja mjernih podataka
Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.
Ulazni promet
Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:
Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora
Konfigurirajte Squid proxy za hibridnu sigurnost podataka
Websocket se ne može povezati putem Squid proxyja
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:
) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss:
prometa za pravilan rad usluga.
Lignje 4 i 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignje 3.5.27
Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf
. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove i promijenjene informacije
Datum | Promjene napravljene | ||
---|---|---|---|
20. listopada 2023 |
| ||
07. kolovoza 2023 |
| ||
23. svibnja 2023 |
| ||
06. prosinca 2022 |
| ||
23. studenog 2022 |
| ||
13. listopada 2021 | Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop . | ||
24. lipnja 2021 | Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje. | ||
30. travnja 2021. | Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje. | ||
24. veljače 2021 | HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje. | ||
2. veljače 2021 | HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje. | ||
11. siječnja 2021 | Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove . | ||
13. listopada 2020 | Ažurirano Preuzmite instalacijske datoteke . | ||
8. listopada 2020. | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja. | ||
14. kolovoza 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave. | ||
5. kolovoza 2020 | Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika. Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova. | ||
16. lipnja 2020 | Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub. | ||
4. lipnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti. | ||
29. svibnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima. | ||
5. svibnja 2020 | Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5. | ||
21. travnja 2020 | Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI. | ||
1. travnja 2020. | Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima. | ||
20. veljače 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a. | ||
4. veljače 2020 | Ažurirano Zahtjevi proxy poslužitelja . | ||
16. prosinca 2019. | Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja . | ||
19. studenog 2019 | Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima: | ||
8. studenog 2019 | Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije. U skladu s tim ažurirani su sljedeći odjeljci:
| ||
6. rujna 2019 | Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka . | ||
29. kolovoza 2019. | Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada. | ||
20. kolovoza 2019 | Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex . Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći. | ||
13. lipnja 2019 | Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika. | ||
6. ožujka 2019 |
| ||
28. veljače 2019. |
| ||
26. veljače 2019. |
| ||
24. siječnja 2019 |
| ||
5. studenog 2018 |
| ||
19. listopada 2018 |
| ||
31. srpnja 2018 |
| ||
21. svibnja 2018. | Promijenjena terminologija koja odražava rebranding Cisco Spark:
| ||
11. travnja 2018 |
| ||
22. veljače 2018 |
| ||
15. veljače 2018. |
| ||
18. siječnja 2018. |
| ||
2. studenog 2017 |
| ||
18. kolovoza 2017 | Prvi put objavljeno |
Pregled sigurnosti hibridnih podataka
Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.
Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.
Arhitektura sigurnosnog područja
Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.
Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.
U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:
Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.
Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.
Suradnja s drugim organizacijama
Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.
KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.
Očekivanja za implementaciju hibridne sigurnosti podataka
Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.
Za implementaciju Hybrid Data Security morate osigurati:
Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .
Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:
Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .
Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a. |
Proces postavljanja na visokoj razini
Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:
Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.
Model implementacije hibridne sigurnosti podataka
Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.
Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)
Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)
Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.
Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.
Podržavamo samo jedan klaster po organizaciji.
Probni način sigurnosti hibridnih podataka
Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.
Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .
Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.
Podatkovni centar u stanju pripravnosti za oporavak od katastrofe
Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.
Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.
Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka. |
Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe
Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:
Prije početka
podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .
| ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
Nakon konfiguriranja passiveMode
u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode
konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode
konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.
Podrška za proxy
Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.
Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:
Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
Ništa — nije potrebna daljnja provjera autentičnosti.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
Dostupno samo ako odaberete HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Primjer hibridnih čvorova za sigurnost podataka i proxyja
Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.
Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.
Zahtjevi za hibridnu sigurnost podataka
Zahtjevi za licencu Cisco Webex
Za implementaciju hibridne sigurnosti podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)
Zahtjevi za Docker Desktop
Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".
X.509 Zahtjevi certifikata
lanac certifikata mora ispunjavati sljedeće zahtjeve:
Uvjet | Pojedinosti |
---|---|
| Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju. |
| KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija. |
| Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool. |
KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.
Zahtjevi virtualnog hosta
Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:
Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.
Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju
Zahtjevi poslužitelja baze podataka
Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka. |
Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) | Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) |
HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC drajver 42.2.5 | SQL Server JDBC upravljački program 4.6 Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ). |
Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru
Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:
HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .
Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.
Zahtjevi za vanjsko povezivanje
Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:
Aplikacija | Protokol | Priključak | Smjer iz aplikacije | Odredište |
---|---|---|---|---|
Čvorovi hibridne sigurnosti podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alat za postavljanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe. |
URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:
Regija | Uobičajeni URL-ovi hosta identiteta |
---|---|
Južna i Sjeverna Amerika |
|
Europska unija |
|
Kanada |
|
Zahtjevi proxy poslužitelja
Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.
Transparentni proxy— Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .
Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
Nema provjere autentičnosti s HTTP ili HTTPS
Osnovna provjera autentičnosti s HTTP ili HTTPS
Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do
wbx2.com
iciscospark.com
riješit će problem.
Ispunite preduvjete za sigurnost hibridnih podataka
1 | Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu. | ||
2 | Odaberite naziv domene za svoju HDS implementaciju (na primjer, | ||
3 | Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta . | ||
4 | Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima. | ||
5 | Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. | ||
6 | Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514). | ||
7 | Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.
Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara. | ||
8 | Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje . | ||
9 | Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080. Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija. Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje . | ||
10 | Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja . | ||
11 | Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom
|
Tijek zadatka implementacije hibridne sigurnosti podataka
Prije početka
1 | Preuzmite instalacijske datoteke Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu. | ||
2 | Izradite konfiguracijski ISO za HDS hostove Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security. | ||
3 |
Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.
| ||
4 | Postavite VM za hibridnu sigurnost podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA. | ||
5 | Prenesite i montirajte ISO konfiguraciju HDS-a Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a. | ||
6 | Konfigurirajte HDS čvor za proxy integraciju Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno. | ||
7 | Registrirajte prvi čvor u klasteru Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka. | ||
8 | Stvorite i registrirajte više čvorova Dovršite postavljanje klastera. | ||
9 | Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana. |
Preuzmite instalacijske datoteke
1 | Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge . | ||||
2 | U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite . Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.
| ||||
3 | Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje . OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
| ||||
4 | Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča. |
Izradite konfiguracijski ISO za HDS hostove
Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
Vjerodajnice baze podataka
Ažuriranja certifikata
Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.
1 | U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
2 | Da biste se prijaviti se registar Docker slika, unesite sljedeće:
| ||||||||||||
3 | Na upit za lozinku unesite ovaj hash:
| ||||||||||||
4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
5 | Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:
Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080." | ||||||||||||
6 |
Upotrijebite web preglednik da idite na lokalni host, Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu. | ||||||||||||
7 | Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security. | ||||||||||||
8 | Na stranici Pregled alata za postavljanje kliknite Započnite . | ||||||||||||
9 | Na ISO uvoz stranicu, imate ove opcije:
| ||||||||||||
10 | Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .
| ||||||||||||
11 | Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka: | ||||||||||||
12 | Odaberite a TLS način povezivanja baze podataka :
Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.) | ||||||||||||
13 | Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj: | ||||||||||||
14 | (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:
| ||||||||||||
15 | Kliknite Nastavi na Poništi lozinku za račune usluge zaslon. Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke. | ||||||||||||
16 | Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći. | ||||||||||||
17 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||||||||||||
18 | Da biste isključili alat za postavljanje, upišite |
Što učiniti sljedeće
Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.
Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite. |
Instalirajte HDS Host OVA
1 | Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host. | ||||||
2 | Odaberite Datoteka > Postavite OVF predložak . | ||||||
3 | U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje . | ||||||
4 | Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje . | ||||||
5 | Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje . Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška. | ||||||
6 | Provjerite detalje predloška, a zatim kliknite Dalje . | ||||||
7 | Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje . | ||||||
8 | Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a. | ||||||
9 | Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om. | ||||||
10 | Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:
Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.
| ||||||
11 | Desnom tipkom miša kliknite VM čvora, a zatim odaberite .Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora. Savjeti za rješavanje problema Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se. |
Postavite VM za hibridnu sigurnost podataka
Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.
1 | U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
|
2 | Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora. |
3 | Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija. |
4 | Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan. |
5 | (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. |
6 | Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu. |
Prenesite i montirajte ISO konfiguraciju HDS-a
Prije početka
Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.
1 | Prenesite ISO datoteku sa svog računala: |
2 | Montirajte ISO datoteku: |
Što učiniti sljedeće
Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.
Konfigurirajte HDS čvor za proxy integraciju
Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.
Prije početka
vidi Podrška za proxy za pregled podržanih proxy opcija.
1 | Unesite URL za postavljanje HDS čvora |
2 | Idi na Trust Store & Proxy , a zatim odaberite opciju:
Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy. |
3 | Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku. |
4 | Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a . |
5 | Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu. |
6 | Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta. |
7 | Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju. |
Registrirajte prvi čvor u klasteru
Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Prijavite se na https://admin.webex.com. |
2 | Na izborniku na lijevoj strani zaslona odaberite Usluge . |
3 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
|
4 | Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje . |
5 | U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas" |
6 | U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
|
7 | Kliknite Idite na Node . |
8 | Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
|
9 | Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
|
10 | Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Stvorite i registrirajte više čvorova
U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja . |
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA . |
2 | Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka . |
3 | Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a . |
4 | Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor. |
5 | Registrirajte čvor. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
|
Što učiniti sljedeće
Tijek zadatka od probnog do proizvodnog
Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.
Prije početka
1 | Ako je primjenjivo, sinkronizirajte Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati |
2 |
Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana. |
3 | Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security. |
4 | Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme. |
5 | |
6 | Dovršite probnu fazu jednom od sljedećih radnji: |
Aktivirajte probnu verziju
Prije početka
Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup
grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
1 | Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
|
4 | Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, |
Testirajte svoju implementaciju sigurnosti hibridnih podataka
Prije početka
Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.
1 | Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.
| ||
2 | Šaljite poruke u novi prostor. | ||
3 | Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji. |
Pratite zdravlje hibridne sigurnosti podataka
1 | u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona. |
2 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
|
3 | U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi . |
Dodajte ili uklonite korisnike iz svoje probne verzije
Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.
Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup
; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe. |
4 | Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi . |
Prijeđite s probnog na produkciju
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Status usluge kliknite Prijeđite u produkciju . |
4 | Potvrdite da sve svoje korisnike želite premjestiti u produkciju. |
Završite probno razdoblje bez prelaska na produkciju
1 | Prijavite se u Control Hub, a zatim odaberite Usluge . |
2 | Pod Hybrid Data Security kliknite Postavke . |
3 | U odjeljku Deaktiviraj kliknite Deaktiviraj . |
4 | Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje. |
Upravljajte HDS implementacijom
Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.
Postavite raspored nadogradnje klastera
Za postavljanje rasporeda nadogradnje:
1 | Prijavite se na Kontrolno čvorište . |
2 | Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka . |
3 | Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster. |
4 | Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera. |
5 | Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi . |
Promijenite konfiguraciju čvora
Promjena x.509 certifikata zbog isteka ili drugih razloga.
Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.
Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.
Izrada nove konfiguracije za pripremu novog podatkovni centar.
Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:
Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.
Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.
Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.
1 | Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a. |
2 | Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova . |
3 | Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: |
4 | Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju. |
Isključite način razlučivanja blokiranog vanjskog DNS -a
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.
Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.
Prije početka
1 | U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se . |
2 | Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da . |
3 | Idite na Trust Store & Proxy stranica. |
4 | Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br. |
Što učiniti sljedeće
Uklonite čvor
1 | Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo. |
2 | Uklonite čvor: |
3 | U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .) Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima. |
Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja
Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.
Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:
Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove . | ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
(Izborno) Isključite ISO nakon HDS konfiguracije
Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.
I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.
Prije početka
Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.
1 | Isključite jedan od svojih HDS čvorova. |
2 | U vCenter poslužiteljskom uređaju odaberite HDS čvor. |
3 | Odaberite ISO datoteka skladišta podataka . i poništite odabir |
4 | Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta. |
5 | Ponovite redom za svaki HDS čvor. |
Pregledajte upozorenja i rješavanje problema
Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:
Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje
Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.
Upozorenja
Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.
Upozorenje | Radnja |
---|---|
Neuspjeh pristupa lokalnoj bazi podataka. |
Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom. |
neuspjelo povezivanje s lokalnom bazom podataka. |
Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora. |
Neuspjeh pristupa usluzi u oblaku. |
Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje . |
Obnavljanje registracije usluge u oblaku. |
Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku. |
Registracija usluge u oblaku je pala. |
Registracija na usluge u oblaku je prekinuta. Usluga se gasi. |
Usluga još nije aktivirana. |
Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju. |
Konfigurirana domena ne odgovara certifikat poslužitelja. |
Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja. |
Provjera autentičnosti na uslugama u oblaku nije uspjela. |
Provjerite točnost i mogući istek vjerodajnica račun usluge . |
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo. |
Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva. |
certifikat poslužitelja nije važeći. |
Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata. |
Nije moguće objaviti mjerne podatke. |
Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku. |
/media/configdrive/hds direktorij ne postoji. |
Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira. |
Rješavanje problema sa sigurnošću hibridnih podataka
1 | Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete. |
2 | Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security. |
3 | Kontaktirajte Ciscova podrška . |
Poznati problemi za sigurnost hibridnih podataka
Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.
Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).
Koristite OpenSSL za generiranje PKCS12 datoteke
Prije početka
OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).
1 | Kada od CA primite certifikat poslužitelja , spremite ga kao |
2 | Prikažite certifikat kao tekst i provjerite pojedinosti.
|
3 | Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom
|
4 | Napravite .p12 datoteku s prijateljskim imenom
|
5 | Provjerite pojedinosti certifikat poslužitelja . |
Što učiniti sljedeće
Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12
datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .
Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne. |
Promet između HDS čvorova i oblaka
Odlazni promet prikupljanja mjernih podataka
Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.
Ulazni promet
Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:
Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora
Konfigurirajte Squid proxy za hibridnu sigurnost podataka
Websocket se ne može povezati putem Squid proxyja
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:
) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss:
prometa za pravilan rad usluga.
Lignje 4 i 5
Dodajte on_unsupported_protocol
direktiva za squid.conf
:
on_unsupported_protocol tunnel all
Lignje 3.5.27
Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf
. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nove i promijenjene informacije
Datum | Promjene napravljene | ||
---|---|---|---|
20. listopada 2023 |
| ||
07. kolovoza 2023 |
| ||
23. svibnja 2023 |
| ||
06. prosinca 2022 |
| ||
23. studenog 2022 |
| ||
13. listopada 2021 | Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop . | ||
24. lipnja 2021 | Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje. | ||
30. travnja 2021. | Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje. | ||
24. veljače 2021 | HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje. | ||
2. veljače 2021 | HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje. | ||
11. siječnja 2021 | Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove . | ||
13. listopada 2020 | Ažurirano Preuzmite instalacijske datoteke . | ||
8. listopada 2020. | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja. | ||
14. kolovoza 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave. | ||
5. kolovoza 2020 | Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika. Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova. | ||
16. lipnja 2020 | Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub. | ||
4. lipnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti. | ||
29. svibnja 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima. | ||
5. svibnja 2020 | Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5. | ||
21. travnja 2020 | Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI. | ||
1. travnja 2020. | Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima. | ||
20. veljače 2020 | Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a. | ||
4. veljače 2020 | Ažurirano Zahtjevi proxy poslužitelja . | ||
16. prosinca 2019. | Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja . | ||
19. studenog 2019 | Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima: | ||
8. studenog 2019 | Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije. U skladu s tim ažurirani su sljedeći odjeljci:
| ||
6. rujna 2019 | Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka . | ||
29. kolovoza 2019. | Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada. | ||
20. kolovoza 2019 | Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex . Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći. | ||
13. lipnja 2019 | Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika. | ||
6. ožujka 2019 |
| ||
28. veljače 2019. |
| ||
26. veljače 2019. |
| ||
24. siječnja 2019 |
| ||
5. studenog 2018 |
| ||
19. listopada 2018 |
| ||
31. srpnja 2018 |
| ||
21. svibnja 2018. | Promijenjena terminologija koja odražava rebranding Cisco Spark:
| ||
11. travnja 2018 |
| ||
22. veljače 2018 |
| ||
15. veljače 2018. |
| ||
18. siječnja 2018. |
| ||
2. studenog 2017 |
| ||
18. kolovoza 2017 | Prvi put objavljeno |
Pregled sigurnosti hibridnih podataka
Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.
Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.
Arhitektura sigurnosnog područja
Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.
Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.
U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:
Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.
Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.
Suradnja s drugim organizacijama
Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.
KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.
Očekivanja za implementaciju hibridne sigurnosti podataka
Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.
Za implementaciju Hybrid Data Security morate osigurati:
Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .
Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:
Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .
Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a. |
Proces postavljanja na visokoj razini
Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:
Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.
Model implementacije hibridne sigurnosti podataka
Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.
Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)
Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)
Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.
Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.
Podržavamo samo jedan klaster po organizaciji.
Probni način sigurnosti hibridnih podataka
Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.
Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .
Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.
Podatkovni centar u stanju pripravnosti za oporavak od katastrofe
Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.
Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.
Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka. |
Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe
Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:
Prije početka
podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.
1 | Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .
| ||
2 | Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke | ||
3 | Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.
| ||
4 | Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći. | ||
5 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||
6 | U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. . | ||
7 | Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.
| ||
8 | Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta. | ||
9 | Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.
|
Što učiniti sljedeće
Nakon konfiguriranja passiveMode
u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode
konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode
konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.
Podrška za proxy
Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.
Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:
Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
Ništa — nije potrebna daljnja provjera autentičnosti.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
Dostupno samo ako odaberete HTTPS kao proxy protokol.
Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
Primjer hibridnih čvorova za sigurnost podataka i proxyja
Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.
Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.
Zahtjevi za hibridnu sigurnost podataka
Zahtjevi za licencu Cisco Webex
Za implementaciju hibridne sigurnosti podataka:
Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)
Zahtjevi za Docker Desktop
Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".
X.509 Zahtjevi certifikata
lanac certifikata mora ispunjavati sljedeće zahtjeve:
Uvjet | Pojedinosti |
---|---|
| Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju. |
| KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija. |
| Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool. |
KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.
Zahtjevi virtualnog hosta
Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:
Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.
Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju
Zahtjevi poslužitelja baze podataka
Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka. |
Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) | Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu) |
HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC drajver 42.2.5 | SQL Server JDBC upravljački program 4.6 Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ). |
Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru
Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:
HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .
Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.
Zahtjevi za vanjsko povezivanje
Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:
Aplikacija | Protokol | Priključak | Smjer iz aplikacije | Odredište |
---|---|---|---|---|
Čvorovi hibridne sigurnosti podataka | TCP | 443 | Odlazni HTTPS i WSS |
|
Alat za postavljanje HDS-a | TCP | 443 | Odlazni HTTPS |
|
Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe. |
URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:
Regija | Uobičajeni URL-ovi hosta identiteta |
---|---|
Južna i Sjeverna Amerika |
|
Europska unija |
|
Kanada |
|
Zahtjevi proxy poslužitelja
Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.
Transparentni proxy— Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .
Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
Nema provjere autentičnosti s HTTP ili HTTPS
Osnovna provjera autentičnosti s HTTP ili HTTPS
Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do
wbx2.com
iciscospark.com
riješit će problem.
Ispunite preduvjete za sigurnost hibridnih podataka
1 | Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu. | ||
2 | Odaberite naziv domene za svoju HDS implementaciju (na primjer, | ||
3 | Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta . | ||
4 | Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima. | ||
5 | Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. | ||
6 | Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514). | ||
7 | Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.
Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara. | ||
8 | Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje . | ||
9 | Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080. Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija. Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje . | ||
10 | Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja . | ||
11 | Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom
|
Tijek zadatka implementacije hibridne sigurnosti podataka
Prije početka
1 | Preuzmite instalacijske datoteke Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu. | ||
2 | Izradite konfiguracijski ISO za HDS hostove Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security. | ||
3 |
Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.
| ||
4 | Postavite VM za hibridnu sigurnost podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA. | ||
5 | Prenesite i montirajte ISO konfiguraciju HDS-a Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a. | ||
6 | Konfigurirajte HDS čvor za proxy integraciju Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno. | ||
7 | Registrirajte prvi čvor u klasteru Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka. | ||
8 | Stvorite i registrirajte više čvorova Dovršite postavljanje klastera. | ||
9 | Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje) Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana. |
Preuzmite instalacijske datoteke
1 | Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge . | ||||
2 | U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite . Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.
| ||||
3 | Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje . OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.
| ||||
4 | Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča. |
Izradite konfiguracijski ISO za HDS hostove
Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.
Prije početka
Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.
Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:
Opis
Varijabla
HTTP proxy bez autentifikacije
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy bez autentifikacije
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy s autentifikacijom
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy s autentifikacijom
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
Vjerodajnice baze podataka
Ažuriranja certifikata
Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.
1 | U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
2 | Da biste se prijaviti se registar Docker slika, unesite sljedeće:
| ||||||||||||
3 | Na upit za lozinku unesite ovaj hash:
| ||||||||||||
4 | Preuzmite najnoviju stabilnu sliku za svoje okruženje: U uobičajenim okruženjima:
U FedRAMP okruženjima:
| ||||||||||||
5 | Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:
Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080." | ||||||||||||
6 |
Upotrijebite web preglednik da idite na lokalni host, Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu. | ||||||||||||
7 | Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security. | ||||||||||||
8 | Na stranici Pregled alata za postavljanje kliknite Započnite . | ||||||||||||
9 | Na ISO uvoz stranicu, imate ove opcije:
| ||||||||||||
10 | Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .
| ||||||||||||
11 | Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka: | ||||||||||||
12 | Odaberite a TLS način povezivanja baze podataka :
Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.) | ||||||||||||
13 | Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj: | ||||||||||||
14 | (Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:
| ||||||||||||
15 | Kliknite Nastavi na Poništi lozinku za račune usluge zaslon. Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke. | ||||||||||||
16 | Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći. | ||||||||||||
17 | Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije. | ||||||||||||
18 | Da biste isključili alat za postavljanje, upišite |
Što učiniti sljedeće
Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.
Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite. |
Instalirajte HDS Host OVA
1 | Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host. | ||||||
2 | Odaberite Datoteka > Postavite OVF predložak . | ||||||
3 | U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje . | ||||||
4 | Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje . | ||||||
5 | Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje . Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška. | ||||||
6 | Provjerite detalje predloška, a zatim kliknite Dalje . | ||||||
7 | Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje . | ||||||
8 | Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a. | ||||||
9 | Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om. | ||||||
10 | Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:
Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.
| ||||||
11 | Desnom tipkom miša kliknite VM čvora, a zatim odaberite .Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora. Savjeti za rješavanje problema Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se. |
Postavite VM za hibridnu sigurnost podataka
Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.
1 | U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
|
2 | Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora. |
3 | Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija. |
4 | Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan. |
5 | (Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. |
6 | Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu. |
Prenesite i montirajte ISO konfiguraciju HDS-a
Prije početka
Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.
1 | Prenesite ISO datoteku sa svog računala: |
2 | Montirajte ISO datoteku: |
Što učiniti sljedeće
Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.
Konfigurirajte HDS čvor za proxy integraciju
Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.
Prije početka
vidi Podrška za proxy za pregled podržanih proxy opcija.
1 | Unesite URL za postavljanje HDS čvora |
2 | Idi na Trust Store & Proxy , a zatim odaberite opciju:
Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy. |
3 | Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku. |
4 | Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a . |
5 | Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu. |
6 | Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta. |
7 | Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju. |
Registrirajte prvi čvor u klasteru
Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Prijavite se na https://admin.webex.com. |
2 | Na izborniku na lijevoj strani zaslona odaberite Usluge . |
3 | U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
|
4 | Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje . |
5 | U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas" |
6 | U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
|
7 | Kliknite Idite na Node . |
8 | Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
|
9 | Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
|
10 | Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.
|
Stvorite i registrirajte više čvorova
U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja . |
Prije početka
Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.
1 | Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA . |
2 | Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka . |
3 | Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a . |
4 | Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor. |
5 | Registrirajte čvor. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
|
Što učiniti sljedeće
Tijek zadatka od probnog do proizvodnog
Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.
Prije početka
1 | Ako je primjenjivo, sinkronizirajte Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati |
2 |
Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana. |
3 | Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security. |
4 | Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme. |
5 | |
6 | Dovršite probnu fazu jednom od sljedećih radnji: |
Aktivirajte probnu verziju
Prije početka
Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup
grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
1 | Prijavite se na |