Hvala na povratnim informacijama.

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

5. kolovoza 2020

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

4. lipnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

5. svibnja 2020

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020 Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020 Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .

19. studenog 2019

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Podrška za proxy
Konfigurirajte HDS čvor za proxy integraciju
Isključite način razlučivanja blokiranog vanjskog DNS -a

8. studenog 2019

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Podrška za proxy
Zahtjevi proxy poslužitelja
Konfigurirajte HDS čvor za proxy integraciju

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

13. lipnja 2019 Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probnog postupka ako vaša organizacija koristi sinkronizaciju imenika.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019

Hybrid Data Security sada podržava Microsoft SQL Server kao bazu podataka. SQL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržan je od strane JDBC upravljačkih programa koji se koriste u Hybrid Data Security. Dodan sadržaj vezan za implementaciju sa SQL Serverom.

Podrška za Microsoftov SQL poslužitelj namijenjena je samo novim implementacijama usluge Hybrid Data Security. Trenutačno ne podržavamo premještanje podataka s PostgreSQL na Microsoftov SQL poslužitelj u postojećoj implementaciji.

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida u zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u stanju pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Od prvog dana sigurnost podataka je primarni fokus u dizajniranju Webex aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije u interakciji s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom području sigurnosti. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Arhitektura sigurnosnog područja

Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

***Carstva razdvajanja (bez hibridne sigurnosti podataka)***

Da bismo bolje razumjeli sigurnost hibridnih podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logično je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.

U ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Kada implementirate Hybrid Data Security, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovom području.

Suradnja s drugim organizacijama

Korisnici u vašoj organizaciji mogu redovito koristiti aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak kroz zasebni ECDH kanal kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja radi na organizaciji A provjerava valjanost veza s KMS-ovima u drugim organizacijama koristeći x.509 PKI certifikate. vidi Pripremite svoje okruženje za pojedinosti o generiranju x.509 certifikata za korištenje s vašom Hybrid Data Security implementacijom.

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Potpuni gubitak bilo ISO konfiguracije koju ste izgradili za Hybrid Data Security ili baze podataka koju ste dali rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex . Ako se to dogodi, možete napraviti novu implementaciju, ali će biti vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Unutar vašeg podaci poduzeća centra postavljate Hybrid Data Security kao jedan klaster čvorova na zasebnim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih webutičnica i sigurnog HTTP-a.

Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za stvaranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš osigurani Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

Model implementacije hibridne sigurnosti podataka

Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)

Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i rješavaju ključne zahtjeve na kružni način, prema uputama oblaka.

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Nakon postavljanja implementacije Hybrid Data Security, prvo je isprobate s skupom pilot korisnika. Tijekom probnog razdoblja, ti korisnici koriste vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Vaši drugi korisnici nastavljaju koristiti područje sigurnosti u oblaku.

Ako odlučite ne nastaviti s implementacijom tijekom probnog razdoblja i deaktivirati uslugu, pilot korisnici i svi korisnici s kojima su stupili u interakciju stvaranjem novih prostora tijekom probnog razdoblja izgubit će pristup porukama i sadržaju. Vidjet će "Ovu poruku nije moguće dešifrirati" u aplikaciji Webex .

Ako ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike i spremni ste proširiti Hybrid Data Security na sve svoje korisnike, premjestite implementaciju u produkciju. Korisnici pilota i dalje imaju pristup ključevima koji su bili u upotrebi tijekom probnog razdoblja. Međutim, ne možete se kretati naprijed-natrag između proizvodnog načina i izvorne probne verzije. Ako morate deaktivirati uslugu, kao što je izvođenje oporavak od katastrofe od katastrofe, kada ponovno aktivirate, morate pokrenuti novu probnu verziju i postaviti skup pilot korisnika za novo probno razdoblje prije nego što se vratite u proizvodni način rada. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno održavali sigurnosne kopije pohrana podataka i ISO konfiguracijska datoteka za čvorove Hybrid Data Security u vašem klasteru.

Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

Tijekom implementacije postaviti sigurni podatkovni centar u stanju pripravnosti. U slučaju katastrofe podatkovni centar , možete ručno ne uspjeti svoju implementaciju u podatkovni centar u stanju pripravnosti.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***Ručno prebacivanje u stanje pripravnosti podatkovnog centra***

Baze podataka aktivnih i pričuvnih podatkovnih centara međusobno su sinkronizirane, što će minimizirati vrijeme potrebno za izvođenje prebacivanja. ISO datoteka podatkovni centar u stanju čekanja ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali neće upravljati prometom. Stoga čvorovi podatkovni centar u stanju čekanja uvijek ostaju ažurirani s najnovijom verzijom HDS softvera.

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranici, dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.


passiveMode: 'true'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Nakon konfiguriranja passiveMode u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez passiveMode konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez passiveMode konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.

Podrška za proxy

Hibridna sigurnost podataka podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.

Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa — nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako odaberete HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

Primjer hibridnih čvorova za sigurnost podataka i proxyja

Ovaj dijagram prikazuje primjer veze između Hybrid Data Security, mreže i proxyja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru proxy opcija, isti korijenski certifikat mora biti instaliran na proxy i na čvorovima Hybrid Data Security.

Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Pripremite svoje okruženje

Zahtjevi za hibridnu sigurnost podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtijevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte post na blogu Docker, " Docker ažurira i proširuje naše pretplate na proizvode ".

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-private-key` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

KMS softver ne provodi korištenje ključa ili proširena ograničenja upotrebe ključa. Neka tijela za izdavanje certifikata zahtijevaju da se proširena ograničenja upotrebe ključa primjenjuju na svaki certifikat, kao što je provjera autentičnosti poslužitelja. U redu je koristiti provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

Najmanje 8 vCPU-a, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporuča se 2 TB ako želite pokrenuti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL	Microsoft SQL Server
Postgres JDBC drajver 42.2.5	SQL Server JDBC upravljački program 4.6 Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

Čvorovi Hybrid Data Security rade s prijevodom mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze na odredišta domene u prethodnoj tablici. Za veze koje ulaze u čvorove Hybrid Data Security, nikakvi portovi ne bi trebali biti vidljivi s interneta. Unutar vašeg podatkovni centar, klijenti trebaju pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22, u administrativne svrhe.

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahtjevi proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

Transparentni proxy— Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .

Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
- Nema provjere autentičnosti s HTTP ili HTTPS
- Osnovna provjera autentičnosti s HTTP ili HTTPS
- Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i pribavite vjerodajnice računa s punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili upravitelju računa za pomoć u ovom procesu.

Odaberite naziv domene za svoju HDS implementaciju (na primjer, hds.company.com) i pribavite lanac certifikata sadrži certifikat X.509, privatni ključ i sve posredničke certifikate. lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi certifikata .

Pripremite identične virtualne hostove koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru. Potrebna su vam najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar koji ispunjavaju zahtjeve u Zahtjevi virtualnog hosta .

Pripremite poslužitelj baze podataka koji će djelovati kao ključna pohrana podataka za klaster, prema Zahtjevi poslužitelja baze podataka . Poslužitelj poslužitelj baze podataka mora biti smješten u sigurnom podatkovni centar s virtualnim hostovima.

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Za brzi oporavak od katastrofe od katastrofe, postaviti okruženje za sigurnosnu kopiju u drugom podatkovni centar. Okruženje sigurnosne kopije odražava proizvodno okruženje VM-a i poslužitelj baze podataka sigurnosne kopije. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a.

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Napravite sigurnosno sigurnosno kopiranje za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog. U najmanju ruku, kako biste spriječili nepopravljiv gubitak podataka, morate sigurnosno kopirati bazu podataka i konfiguracijsku ISO datoteku generiranu za čvorove Hybrid Data Security.

Budući da čvorovi Hybrid Data Security pohranjuju ključeve koji se koriste za šifriranje i dešifriranje sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NENAKNADIVI GUBITAK tog sadržaja.

Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

Instaliraj Docker (https://www.docker.com ) na bilo kojem lokalnom računalu s podržanim OS (Microsoft Windows 10 Professional ili Enterprise 64-bit, ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080.

Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu za Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Datoteka HdsTrialGroup objekt mora biti sinkroniziran s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za sinkronizaciju grupnog objekta, odaberite ga u konektoru imenika Konfiguracija > Odabir objekta izbornik. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector. )

Ključeve za dati prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite trajno deaktivirati implementaciju Hybrid Data Security, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim korisničke aplikacije osvježe svoje kopije sadržaja u predmemoriji.

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za sigurnost hibridnih podataka. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.

Također možete preuzeti OVA u bilo kojem trenutku sa Pomoć odjeljak o Postavke stranica. Na kartici Hybrid Data Security kliknite Uredite postavke da otvorite stranicu. Zatim kliknite Preuzmite softver za hibridnu sigurnost podataka u Pomoć odjeljak.

Starije verzije softverskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama Hybrid Data Security. To može dovesti do problema tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke.

Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije početka

Alat za postavljanje HDS-a radi kao Docker spremnik na lokalnom računalu. Da biste mu pristupili, pokrenite Docker na tom stroju. Proces postavljanja zahtijeva vjerodajnice računa Control Hub s punim administratorskim pravima za vašu organizaciju.

Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okruženja:

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

U uobičajenim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

Da biste se prijaviti se registar Docker slika, unesite sljedeće:

docker login -u hdscustomersro

Na upit za lozinku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu administratora korisničkog centra Control Hub, a zatim kliknite Prijavite se kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevajte TLS

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknite Nastavi , HDS Setup Tool testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS-a ne može uspješno testirati.)

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Čuvajte sigurnosnu kopiju sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore Hybrid Data Security koji bi trebali izvršiti promjene konfiguracije.

Da biste isključili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Napravite sigurnosnu kopiju konfiguracijske ISO datoteke. Potreban vam je za stvaranje više čvorova za oporavak ili za promjenu konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite naziv i mapu stranicu, unesite a Naziv virtualnog stroja za čvor (na primjer, "HDS_ Node_ 1"), odaberite mjesto na kojem se može nalaziti implementacija čvora virtualno računalo , a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za rješavanje problema

Možda ćete doživjeti kašnjenje od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka bridge firewall-a pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti se.

Postavite VM za hibridnu sigurnost podataka

Upotrijebite ovaj postupak da se prvi put prijaviti se na VM konzolu čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, trebala bi biti izložena samo na temelju "treba znati" za pristup VM-ovima Hybrid Data Security i svim administratorima koji bi mogli unijeti promjene. Provjerite da samo ti administratori mogu pristupiti spremištu podataka.

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT politika zahtijeva, možete po želji demontirati ISO datoteku nakon što svi vaši čvorovi poprime promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

Konfigurirajte HDS čvor za proxy integraciju

Ako mrežno okruženje zahtijeva proxy, upotrijebite ovaj postupak za navođenje vrste proxyja koji želite integrirati s Hybrid Data Security. Ako odaberete transparentni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instalaciju korijenski certifikat. Također možete provjeriti proxy vezu sa sučelja i riješiti sve potencijalne probleme.

Prije početka

vidi Podrška za proxy za pregled podržanih proxy opcija.
Zahtjevi proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Trust Store & Proxy , a zatim odaberite opciju: Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Ništa — nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS proxy servere. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.
3	Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Da biste dodali dodatne čvorove u svoj klaster, jednostavno stvorite dodatne VM-ove i montirate istu konfiguracijsku ISO datoteku, a zatim registrirate čvor. Preporučujemo da imate najmanje 3 čvora.

U ovom trenutku, sigurnosne kopije VM-a u kojima ste kreirali Ispunite preduvjete za sigurnost hibridnih podataka su standby hostovi koji se koriste samo u slučaju oporavka od oporavak od katastrofe; do tada nisu registrirani u sustavu. Za detalje pogledajte Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Nakon što postaviti hibridni klaster sigurnosti podataka, možete pokrenuti pilot, dodati mu korisnike i početi ga koristiti za testiranje i provjeru svoje implementacije u pripremi za prelazak na proizvodnju.

Prije početka

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati HdsTrialGroup grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Ključeve za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim stvorite prostor i pozovite barem jednog pilot korisnika i jednog korisnika koji nije pilot.

Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan nakon zamjene predmemorije klijentskih kopija ključeva za šifriranje.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog objekta KMS resursa (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

Indikator indikator statusa unutar Control Huba pokazuje je li sve u redu s implementacijom Hybrid Data Security. Za proaktivnije upozorenje, registrirati se za obavijesti putem e-pošte. Bit ćete obaviješteni kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i izradu ključeva iz KMS-a u oblaku umjesto vašeg KMS-a. Ako klijent treba ključ koji je pohranjen na vašem KMS-u, KMS u oblaku će ga dohvatiti u ime korisnika.

Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

Prijeđite s probnog na produkciju

Kada ste zadovoljni da vaša implementacija dobro funkcionira za probne korisnike, možete prijeći na proizvodnju. Kada prijeđete u proizvodnju, svi korisnici u organizaciji koristit će vašu lokalnu domenu Hybrid Data Security za ključeve za šifriranje i druge usluge sigurnosnog područja. Ne možete se vratiti na probni način rada iz proizvodnje osim ako ne deaktivirate uslugu kao dio oporavka od oporavak od katastrofe. Ponovno aktiviranje usluge zahtijeva da postaviti novu probnu verziju.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

Ako tijekom probnog razdoblja odlučite ne nastaviti s implementacijom Hybrid Data Security, možete deaktivirati Hybrid Data Security, čime se završava probna verzija i premještaju korisnici probne verzije natrag na usluge sigurnosti podataka u oblaku. Korisnici probne verzije izgubit će pristup podacima koji su bili šifrirani tijekom probe.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Softverske nadogradnje za Hybrid Data Security obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verzija softvera. Nadogradnje se obavljaju prema rasporedu nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili koristiti zadani raspored od 3:00 AM u Sjedinjenim Državama: Amerika/Los Angeles. Također možete odabrati odgoditi nadolazeću nadogradnju, ako je potrebno.

Za postavljanje rasporeda nadogradnje:

1	Prijavite se na Kontrolno čvorište .
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.

Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

Izrada nove konfiguracije za pripremu novog podatkovni centar.

Također, iz sigurnosnih razloga, Hybrid Data Security koristi lozinke račun usluge koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira ove lozinke, postavljate ih na svaki od vaših HDS čvorova u ISO konfiguracijskoj datoteci. Kada se lozinke vaše organizacije bliže isteku, od Webex tima ćete primiti obavijest da poništite lozinku za račun vašeg računala. (E-poruka uključuje tekst "Koristite API računa računala za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam nudi dvije mogućnosti:

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

Prije početka

Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okruženja:

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:
U uobičajenim okruženjima:
```
docker rmi ciscocitg/hds-setup:stable
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.
Da biste se prijaviti se registar Docker slika, unesite sljedeće:
```
docker login -u hdscustomersro
```
Na upit za lozinku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite ISO datoteku trenutne konfiguracije.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C.
Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

Ako imate pokrenut samo jedan HDS čvor , stvorite novi VM čvora Hybrid Data Security i registrirajte ga pomoću nove konfiguracijske ISO datoteke. Za detaljnije upute pogledajte Stvorite i registrirajte više čvorova .

Instalirajte HDS host OVA.
Postavite HDS VM.
Montirajte ažuriranu konfiguracijska datoteka.
Registrirajte novi čvor u Control Hubu.

Za postojeće HDS čvorove koji pokreću stariju konfiguracijska datoteka, montirajte ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora:

Isključite virtualno računalo.
U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Spojite se pri uključenju .
Spremite promjene i uključite virtualno računalo.

Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

Isključite način razlučivanja blokiranog vanjskog DNS -a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s Cisco Webex oblakom. Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.

Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

Prije početka

Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .
3	Idite na Trust Store & Proxy stranica.
4	Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

Uklonite čvor

Upotrijebite ovaj postupak za uklanjanje čvora Hybrid Data Security iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup vašim sigurnosnim podacima.

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Najkritičnija usluga koju pruža vaš hibridni klaster zaštite podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva preusmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja ovih ključeva, imperativ je da klaster i dalje radi i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO -a koji se koristi za shemu rezultirat će NENAKONOVIM GUBITKOM sadržaja korisnika. Sljedeće prakse su obavezne kako bi se spriječio takav gubitak:

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.


passiveMode: 'false'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite izlaz syslog kako biste provjerili da čvorovi podatkovni centar u stanju čekanja nisu u pasivnom načinu rada. "KMS konfiguriran u pasivnom načinu rada" ne bi se trebao pojaviti u sistemskim zapisnicima.

Što učiniti sljedeće

Nakon prelaska na kvar, ako primarni podatkovni centar ponovno postane aktivan, ponovno postavite podatkovni centar u stanje pripravnosti u pasivni način slijedeći korake opisane u Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .

(Izborno) Isključite ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi s montiranim ISO . No, neki korisnici više vole ne ostavljati ISO datoteke kontinuirano montirane. Možete isključiti ISO datoteku nakon što svi HDS čvorovi pokupe novu konfiguraciju.

I dalje koristite ISO datoteke za promjenu konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, možete ponovno demontirati ISO ovim postupkom.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Implementacija Hybrid Data Security smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi tako sporo da zahtijeva vremensko ograničenje. Ako korisnici ne mogu doći do vašeg hibridnog sigurnosnog klastera podataka, doživljavaju sljedeće simptome:

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja organizacijskom administratoru i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Neuspjeh pristupa lokalnoj bazi podataka.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Čvorovi Hybrid Data Security šalju određene metrike u Webex oblak. To uključuje metriku sustava za maksimalnu količinu hrpe, iskorištenu hrpu, opterećenje CPU -a i broj niti; metrike na sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili duljinu reda zahtjeva; metrika na pohrani podataka; i metriku enkripcije veze. Čvorovi šalju šifrirani ključni materijal preko izvanpojasnog (odvojenog od zahtjeva) kanala.

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem Squid proxyja

Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss:) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss: prometa za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove i promijenjene informacije

Datum

Promjene napravljene

20. listopada 2023

Ažurirane informacije u Zahtjevi poslužitelja baze podataka .
Dodano Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .
Ažurirane informacije u Podatkovni centar u stanju pripravnosti za oporavak od katastrofe i Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

07. kolovoza 2023

Dodana je bilješka u Preuzmite instalacijske datoteke .
Dodana je bilješka u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

23. svibnja 2023

Izbrisane informacije iz Zahtjevi poslužitelja baze podataka tražeći da se značajka omogući kontaktiranjem tima za račun.
Ažurirane informacije u Zahtjevi za vanjsko povezivanje i dodao Kanadu u tablicu domaćina CI.
Dodana je bilješka u Očekivanja za implementaciju hibridne sigurnosti podataka u vezi s nedostupnošću mehanizama za pomicanje ključeva natrag u oblak.

06. prosinca 2022

Slike alata za postavljanje HDS-a sada se nalaze u ciscocitg dockerhub repozitorij.
Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora teme za odraz promjena u naredbama.

23. studenog 2022

HDS čvorovi sada mogu koristiti Windows autentifikaciju protiv Microsoft SQL Servera.

Ažurirano Zahtjevi poslužitelja baze podataka tema s dodatnim zahtjevima za ovaj način provjere autentičnosti.

Ažurirano Izradite konfiguracijski ISO za HDS hostove s postupkom za konfiguriranje Windows provjere autentičnosti na čvorovima.
Ažurirano Zahtjevi poslužitelja baze podataka temu s novim minimalno potrebnim verzijama (PostgreSQL 10).

13. listopada 2021

Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

24. lipnja 2021

Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

30. travnja 2021.

Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

24. veljače 2021

HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

2. veljače 2021

HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

11. siječnja 2021

Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

13. listopada 2020

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

5. kolovoza 2020

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

4. lipnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

5. svibnja 2020

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020 Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020 Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .

19. studenog 2019

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Podrška za proxy
Konfigurirajte HDS čvor za proxy integraciju
Isključite način razlučivanja blokiranog vanjskog DNS -a

8. studenog 2019

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Podrška za proxy
Zahtjevi proxy poslužitelja
Konfigurirajte HDS čvor za proxy integraciju

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida u zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u stanju pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Arhitektura sigurnosnog područja

Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Model implementacije hibridne sigurnosti podataka

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke


passiveMode: 'true'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Podrška za proxy

Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa — nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako odaberete HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

Primjer hibridnih čvorova za sigurnost podataka i proxyja

Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

Pripremite svoje okruženje

Zahtjevi za hibridnu sigurnost podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-private-key` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahtjevi proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

Transparentni proxy— Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
- Nema provjere autentičnosti s HTTP ili HTTPS
- Osnovna provjera autentičnosti s HTTP ili HTTPS
- Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

U uobičajenim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

Da biste se prijaviti se registar Docker slika, unesite sljedeće:

docker login -u hdscustomersro

Na upit za lozinku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevajte TLS

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Da biste isključili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za rješavanje problema

Postavite VM za hibridnu sigurnost podataka

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Konfigurirajte HDS čvor za proxy integraciju

Prije početka

vidi Podrška za proxy za pregled podržanih proxy opcija.
Zahtjevi proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Trust Store & Proxy , a zatim odaberite opciju: Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Ništa — nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS proxy servere. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.
3	Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Prije početka

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

Prijeđite s probnog na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Za postavljanje rasporeda nadogradnje:

1	Prijavite se na Kontrolno čvorište .
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.

Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

Izrada nove konfiguracije za pripremu novog podatkovni centar.

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:
U uobičajenim okruženjima:
```
docker rmi ciscocitg/hds-setup:stable
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.
Da biste se prijaviti se registar Docker slika, unesite sljedeće:
```
docker login -u hdscustomersro
```
Na upit za lozinku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite ISO datoteku trenutne konfiguracije.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C.
Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

Instalirajte HDS host OVA.
Postavite HDS VM.
Montirajte ažuriranu konfiguracijska datoteka.
Registrirajte novi čvor u Control Hubu.

Isključite virtualno računalo.
U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Spojite se pri uključenju .
Spremite promjene i uključite virtualno računalo.

Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

Isključite način razlučivanja blokiranog vanjskog DNS -a

Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

Prije početka

Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .
3	Idite na Trust Store & Proxy stranica.
4	Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

Uklonite čvor

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.


passiveMode: 'false'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Što učiniti sljedeće

(Izborno) Isključite ISO nakon HDS konfiguracije

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Neuspjeh pristupa lokalnoj bazi podataka.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem Squid proxyja

Lignje 4 i 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove i promijenjene informacije

Datum

Promjene napravljene

20. listopada 2023

Ažurirane informacije u Zahtjevi poslužitelja baze podataka .
Dodano Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .
Ažurirane informacije u Podatkovni centar u stanju pripravnosti za oporavak od katastrofe i Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

07. kolovoza 2023

Dodana je bilješka u Preuzmite instalacijske datoteke .
Dodana je bilješka u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

23. svibnja 2023

Izbrisane informacije iz Zahtjevi poslužitelja baze podataka tražeći da se značajka omogući kontaktiranjem tima za račun.
Ažurirane informacije u Zahtjevi za vanjsko povezivanje i dodao Kanadu u tablicu domaćina CI.
Dodana je bilješka u Očekivanja za implementaciju hibridne sigurnosti podataka u vezi s nedostupnošću mehanizama za pomicanje ključeva natrag u oblak.

06. prosinca 2022

Slike alata za postavljanje HDS-a sada se nalaze u ciscocitg dockerhub repozitorij.
Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora teme za odraz promjena u naredbama.

23. studenog 2022

HDS čvorovi sada mogu koristiti Windows autentifikaciju protiv Microsoft SQL Servera.

Ažurirano Zahtjevi poslužitelja baze podataka tema s dodatnim zahtjevima za ovaj način provjere autentičnosti.

Ažurirano Izradite konfiguracijski ISO za HDS hostove s postupkom za konfiguriranje Windows provjere autentičnosti na čvorovima.
Ažurirano Zahtjevi poslužitelja baze podataka temu s novim minimalno potrebnim verzijama (PostgreSQL 10).

13. listopada 2021

Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

24. lipnja 2021

Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

30. travnja 2021.

Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

24. veljače 2021

HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

2. veljače 2021

HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

11. siječnja 2021

Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

13. listopada 2020

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

5. kolovoza 2020

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

4. lipnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

5. svibnja 2020

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020 Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020 Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .

19. studenog 2019

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Podrška za proxy
Konfigurirajte HDS čvor za proxy integraciju
Isključite način razlučivanja blokiranog vanjskog DNS -a

8. studenog 2019

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Podrška za proxy
Zahtjevi proxy poslužitelja
Konfigurirajte HDS čvor za proxy integraciju

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida u zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u stanju pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Arhitektura sigurnosnog područja

Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Model implementacije hibridne sigurnosti podataka

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke


passiveMode: 'true'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Podrška za proxy

Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa — nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako odaberete HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

Primjer hibridnih čvorova za sigurnost podataka i proxyja

Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

Pripremite svoje okruženje

Zahtjevi za hibridnu sigurnost podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-private-key` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahtjevi proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

Transparentni proxy— Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
- Nema provjere autentičnosti s HTTP ili HTTPS
- Osnovna provjera autentičnosti s HTTP ili HTTPS
- Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

U uobičajenim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

Da biste se prijaviti se registar Docker slika, unesite sljedeće:

docker login -u hdscustomersro

Na upit za lozinku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevajte TLS

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Da biste isključili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za rješavanje problema

Postavite VM za hibridnu sigurnost podataka

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Konfigurirajte HDS čvor za proxy integraciju

Prije početka

vidi Podrška za proxy za pregled podržanih proxy opcija.
Zahtjevi proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Trust Store & Proxy , a zatim odaberite opciju: Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Ništa — nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS proxy servere. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.
3	Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Prije početka

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

Prijeđite s probnog na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Za postavljanje rasporeda nadogradnje:

1	Prijavite se na Kontrolno čvorište .
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.

Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

Izrada nove konfiguracije za pripremu novog podatkovni centar.

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:
U uobičajenim okruženjima:
```
docker rmi ciscocitg/hds-setup:stable
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.
Da biste se prijaviti se registar Docker slika, unesite sljedeće:
```
docker login -u hdscustomersro
```
Na upit za lozinku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite ISO datoteku trenutne konfiguracije.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C.
Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

Instalirajte HDS host OVA.
Postavite HDS VM.
Montirajte ažuriranu konfiguracijska datoteka.
Registrirajte novi čvor u Control Hubu.

Isključite virtualno računalo.
U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Spojite se pri uključenju .
Spremite promjene i uključite virtualno računalo.

Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

Isključite način razlučivanja blokiranog vanjskog DNS -a

Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

Prije početka

Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .
3	Idite na Trust Store & Proxy stranica.
4	Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

Uklonite čvor

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.


passiveMode: 'false'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Što učiniti sljedeće

(Izborno) Isključite ISO nakon HDS konfiguracije

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Neuspjeh pristupa lokalnoj bazi podataka.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem Squid proxyja

Lignje 4 i 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove i promijenjene informacije

Datum

Promjene napravljene

20. listopada 2023

Ažurirane informacije u Zahtjevi poslužitelja baze podataka .
Dodano Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .
Ažurirane informacije u Podatkovni centar u stanju pripravnosti za oporavak od katastrofe i Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

07. kolovoza 2023

Dodana je bilješka u Preuzmite instalacijske datoteke .
Dodana je bilješka u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

23. svibnja 2023

Izbrisane informacije iz Zahtjevi poslužitelja baze podataka tražeći da se značajka omogući kontaktiranjem tima za račun.
Ažurirane informacije u Zahtjevi za vanjsko povezivanje i dodao Kanadu u tablicu domaćina CI.
Dodana je bilješka u Očekivanja za implementaciju hibridne sigurnosti podataka u vezi s nedostupnošću mehanizama za pomicanje ključeva natrag u oblak.

06. prosinca 2022

Slike alata za postavljanje HDS-a sada se nalaze u ciscocitg dockerhub repozitorij.
Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora teme za odraz promjena u naredbama.

23. studenog 2022

HDS čvorovi sada mogu koristiti Windows autentifikaciju protiv Microsoft SQL Servera.

Ažurirano Zahtjevi poslužitelja baze podataka tema s dodatnim zahtjevima za ovaj način provjere autentičnosti.

Ažurirano Izradite konfiguracijski ISO za HDS hostove s postupkom za konfiguriranje Windows provjere autentičnosti na čvorovima.
Ažurirano Zahtjevi poslužitelja baze podataka temu s novim minimalno potrebnim verzijama (PostgreSQL 10).

13. listopada 2021

Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

24. lipnja 2021

Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

30. travnja 2021.

Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

24. veljače 2021

HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

2. veljače 2021

HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

11. siječnja 2021

Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

13. listopada 2020

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

5. kolovoza 2020

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

4. lipnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

5. svibnja 2020

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020 Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020 Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .

19. studenog 2019

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Podrška za proxy
Konfigurirajte HDS čvor za proxy integraciju
Isključite način razlučivanja blokiranog vanjskog DNS -a

8. studenog 2019

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Podrška za proxy
Zahtjevi proxy poslužitelja
Konfigurirajte HDS čvor za proxy integraciju

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida u zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u stanju pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Arhitektura sigurnosnog područja

Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Model implementacije hibridne sigurnosti podataka

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke


passiveMode: 'true'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Podrška za proxy

Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa — nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako odaberete HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

Primjer hibridnih čvorova za sigurnost podataka i proxyja

Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

Pripremite svoje okruženje

Zahtjevi za hibridnu sigurnost podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-private-key` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahtjevi proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

Transparentni proxy— Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
- Nema provjere autentičnosti s HTTP ili HTTPS
- Osnovna provjera autentičnosti s HTTP ili HTTPS
- Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

U uobičajenim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

Da biste se prijaviti se registar Docker slika, unesite sljedeće:

docker login -u hdscustomersro

Na upit za lozinku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevajte TLS

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Da biste isključili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za rješavanje problema

Postavite VM za hibridnu sigurnost podataka

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Konfigurirajte HDS čvor za proxy integraciju

Prije početka

vidi Podrška za proxy za pregled podržanih proxy opcija.
Zahtjevi proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Trust Store & Proxy , a zatim odaberite opciju: Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Ništa — nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS proxy servere. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.
3	Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Prije početka

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

Prijeđite s probnog na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Za postavljanje rasporeda nadogradnje:

1	Prijavite se na Kontrolno čvorište .
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.

Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

Izrada nove konfiguracije za pripremu novog podatkovni centar.

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:
U uobičajenim okruženjima:
```
docker rmi ciscocitg/hds-setup:stable
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.
Da biste se prijaviti se registar Docker slika, unesite sljedeće:
```
docker login -u hdscustomersro
```
Na upit za lozinku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite ISO datoteku trenutne konfiguracije.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C.
Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

Instalirajte HDS host OVA.
Postavite HDS VM.
Montirajte ažuriranu konfiguracijska datoteka.
Registrirajte novi čvor u Control Hubu.

Isključite virtualno računalo.
U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Spojite se pri uključenju .
Spremite promjene i uključite virtualno računalo.

Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

Isključite način razlučivanja blokiranog vanjskog DNS -a

Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

Prije početka

Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .
3	Idite na Trust Store & Proxy stranica.
4	Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

Uklonite čvor

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.


passiveMode: 'false'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Što učiniti sljedeće

(Izborno) Isključite ISO nakon HDS konfiguracije

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Neuspjeh pristupa lokalnoj bazi podataka.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem Squid proxyja

Lignje 4 i 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove i promijenjene informacije

Datum

Promjene napravljene

20. listopada 2023

Ažurirane informacije u Zahtjevi poslužitelja baze podataka .
Dodano Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .
Ažurirane informacije u Podatkovni centar u stanju pripravnosti za oporavak od katastrofe i Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

07. kolovoza 2023

Dodana je bilješka u Preuzmite instalacijske datoteke .
Dodana je bilješka u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

23. svibnja 2023

Izbrisane informacije iz Zahtjevi poslužitelja baze podataka tražeći da se značajka omogući kontaktiranjem tima za račun.
Ažurirane informacije u Zahtjevi za vanjsko povezivanje i dodao Kanadu u tablicu domaćina CI.
Dodana je bilješka u Očekivanja za implementaciju hibridne sigurnosti podataka u vezi s nedostupnošću mehanizama za pomicanje ključeva natrag u oblak.

06. prosinca 2022

Slike alata za postavljanje HDS-a sada se nalaze u ciscocitg dockerhub repozitorij.
Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora teme za odraz promjena u naredbama.

23. studenog 2022

HDS čvorovi sada mogu koristiti Windows autentifikaciju protiv Microsoft SQL Servera.

Ažurirano Zahtjevi poslužitelja baze podataka tema s dodatnim zahtjevima za ovaj način provjere autentičnosti.

Ažurirano Izradite konfiguracijski ISO za HDS hostove s postupkom za konfiguriranje Windows provjere autentičnosti na čvorovima.
Ažurirano Zahtjevi poslužitelja baze podataka temu s novim minimalno potrebnim verzijama (PostgreSQL 10).

13. listopada 2021

Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

24. lipnja 2021

Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

30. travnja 2021.

Promijenjen je zahtjev VM -a za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

24. veljače 2021

HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

2. veljače 2021

HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

11. siječnja 2021

Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

13. listopada 2020

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

5. kolovoza 2020

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub.

4. lipnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

5. svibnja 2020

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020 Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama o novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020 Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu razlučivanja blokiranog vanjskog DNS -a Zahtjevi proxy poslužitelja .

19. studenog 2019

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Podrška za proxy
Konfigurirajte HDS čvor za proxy integraciju
Isključite način razlučivanja blokiranog vanjskog DNS -a

8. studenog 2019

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje Squid proxyja za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Podrška za proxy
Zahtjevi proxy poslužitelja
Konfigurirajte HDS čvor za proxy integraciju

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-ova". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" u Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida u zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u stanju pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u poljima x.509v3 SAN.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Arhitektura sigurnosnog područja

Webex arhitektura oblaka odvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim zahtijeva ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Model implementacije hibridne sigurnosti podataka

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Podatkovni centar u stanju pripravnosti za oporavak od katastrofe

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-a i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u stanju pripravnosti za oporavak od katastrofe za pregled ovog modela prelaska na kvar.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke


passiveMode: 'true'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Podrška za proxy

Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa — nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako odaberete HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

Primjer hibridnih čvorova za sigurnost podataka i proxyja

Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

Pripremite svoje okruženje

Zahtjevi za hibridnu sigurnost podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-private-key` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje dajete HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao naziv principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za izradu SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahtjevi proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

Transparentni proxy— Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podržavamo sljedeće kombinacije tipova provjere autentičnosti za eksplicitne proxy servere:
- Nema provjere autentičnosti s HTTP ili HTTPS
- Osnovna provjera autentičnosti s HTTP ili HTTPS
- Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše čvorove Hybrid Data Security kao što je navedeno Zahtjevi za vanjsko povezivanje .

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Odaberite ne kako biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju da provjerite postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

U uobičajenim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

Da biste se prijaviti se registar Docker slika, unesite sljedeće:

docker login -u hdscustomersro

Na upit za lozinku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web preglednik da idite na lokalni host, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odabirete svoju ISO datoteku u pregledavanju i učitavate je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevajte TLS

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da ime hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako svoj poslužitelj postaviti da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Lozinke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Da biste isključili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računalni resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instalira se kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za rješavanje problema

Postavite VM za hibridnu sigurnost podataka

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Datastores, desni klik pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta gdje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite OK da prihvatite upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Konfigurirajte HDS čvor za proxy integraciju

Prije početka

vidi Podrška za proxy za pregled podržanih proxy opcija.
Zahtjevi proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Trust Store & Proxy , a zatim odaberite opciju: Nema proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy priključak —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Ništa — nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS proxy servere. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.
3	Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu u obliku ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za eksplicitni HTTPS proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu za provjeru provjera povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da da označite da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv za klaster kojem želite dodijeliti svoj Hybrid Data Security čvor. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registracija je dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Prije početka

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili da li korisnik traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probne verzije, možete dodati ili ukloniti članove probne verzije u bilo kojem trenutku dok je probno razdoblje aktivno.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

Prijeđite s probnog na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Za postavljanje rasporeda nadogradnje:

1	Prijavite se na Kontrolno čvorište .
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.

Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

Izrada nove konfiguracije za pripremu novog podatkovni centar.

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:
U uobičajenim okruženjima:
```
docker rmi ciscocitg/hds-setup:stable
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.
Da biste se prijaviti se registar Docker slika, unesite sljedeće:
```
docker login -u hdscustomersro
```
Na upit za lozinku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite ISO datoteku trenutne konfiguracije.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C.
Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

Instalirajte HDS host OVA.
Postavite HDS VM.
Montirajte ažuriranu konfiguracijska datoteka.
Registrirajte novi čvor u Control Hubu.

Isključite virtualno računalo.
U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Spojite se pri uključenju .
Spremite promjene i uključite virtualno računalo.

Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

Isključite način razlučivanja blokiranog vanjskog DNS -a

Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

Prije početka

Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .
3	Idite na Trust Store & Proxy stranica.
4	Kliknite Provjerite proxy vezu . Ako vidite poruku koja kaže da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

Uklonite čvor

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz u pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.


passiveMode: 'false'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Što učiniti sljedeće

(Izborno) Isključite ISO nakon HDS konfiguracije

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Neuspjeh pristupa lokalnoj bazi podataka.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster za sigurnost podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem Squid proxyja

Lignje 4 i 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove i promijenjene informacije

Datum

Promjene napravljene

20. listopada 2023

Ažurirane informacije u Zahtjevi poslužitelja baze podataka .
Dodano Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .
Ažurirane informacije u Podatkovni centar u pripravnosti za oporavak od katastrofe i Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

07. kolovoza 2023

Dodana je bilješka u Preuzmite instalacijske datoteke .
Dodana je bilješka u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

23. svibnja 2023

Izbrisane informacije iz Zahtjevi poslužitelja baze podataka zahtijevajući da se značajka omogući kontaktiranjem tima za račun.
Ažurirane informacije u Zahtjevi za vanjsko povezivanje i dodao Kanadu u tablicu domaćina CI.
Dodana je bilješka u Očekivanja za implementaciju hibridne sigurnosti podataka u vezi s nedostupnošću mehanizama za pomicanje ključeva natrag u oblak.

06. prosinca 2022

Slike alata za postavljanje HDS-a sada se nalaze u ciscocitg dockerhub repozitorij.
Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora teme za odraz promjena u naredbama.

23. studenog 2022

HDS čvorovi sada mogu koristiti Windows autentifikaciju protiv Microsoft SQL Servera.

Ažurirano Zahtjevi poslužitelja baze podataka tema s dodatnim zahtjevima za ovaj način provjere autentičnosti.

Ažurirano Izradite konfiguracijski ISO za HDS hostove s postupkom za konfiguriranje Windows provjere autentičnosti na čvorovima.
Ažurirano Zahtjevi poslužitelja baze podataka temu s novim minimalno potrebnim verzijama (PostgreSQL 10).

13. listopada 2021.

Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

24. lipnja 2021.

Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

30. travnja 2021.

Promijenjen zahtjev za VM za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

24. veljače 2021.

HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

02.02.2021.

HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

11. siječnja 2021

Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

13. listopada 2020.

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

05. kolovoza 2020.

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020.

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub-a.

04. lipnja 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

05. svibnja 2020.

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020. Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama na novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020. Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu rada Blocked External DNS Resolution Mode Zahtjevi proxy poslužitelja .

19. studenog 2019.

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Proxy podrška
Konfiguriranje HDS čvora za integraciju proxy poslužitelja
Isključivanje blokiranog načina vanjske razlučivosti DNS-a

8. studenog 2019.

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019.

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje proxyja Squid za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019.

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Proxy podrška
Preduvjeti proxy poslužitelja
Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

13. lipnja 2019 Ažurirano Tijek zadatka od probnog do proizvodnog s podsjetnikom za sinkronizaciju HdsTrialGroup grupni objekt prije početka probne verzije ako vaša organizacija koristi sinkronizaciju imenika.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-a". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019.

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida na zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018.

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u x.509v3 SAN poljima.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017.

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom sigurnosnom području. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Arhitektura sigurnosnog područja

Arhitektura oblaka Webex razdvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

***Carstva odvajanja (bez hibridne sigurnosti podataka)***

Da bismo bolje razumjeli hibridnu sigurnost podataka, pogledajmo najprije ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim područjima oblaka. Usluga identiteta, jedino mjesto gdje se korisnici mogu izravno povezati s njihovim osobnim podacima kao što je adresa e-pošte, logički je i fizički odvojena od sigurnosnog područja u podatkovni centar B. Obje su zauzvrat odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj , u podatkovni centar C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na prijenosnom računalu korisnika i provjerava autentičnost uslugom identiteta. Kada korisnik sastavi poruku za slanje u prostor, odvijaju se sljedeći koraci:

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Tijekom procesa instalacije dajemo vam OVA datoteku za postaviti virtualnog uređaja na VM-ovima koje ste dali. Koristite alat za postavljanje HDS-a za kreiranje ISO datoteke prilagođene konfiguracije klastera koju montirate na svaki čvor. Klaster Hybrid Data Security koristi vaš dostavljen Syslogd poslužitelj i PostgreSQL ili Microsoft SQL Server bazu podataka. (Podatke o Syslogd-u i vezi s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

Model implementacije hibridne sigurnosti podataka

Minimalni broj čvorova koji možete imati u klasteru je dva. Preporučujemo najmanje tri, a možete imati i do pet. Posjedovanje više čvorova osigurava da usluga nije prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. ( Webex oblak nadograđuje samo jedan po jedan čvor.)

Svi čvorovi u klasteru pristupaju istoj pohrani ključeva i bilježe aktivnost na istom poslužitelju syslog. Sami čvorovi su bez državljanstva i obrađuju ključne zahtjeve na kružni način, prema uputama oblaka.

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Podatkovni centar u pripravnosti za oporavak od katastrofe

Prije prelaska na kvar, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL Server, dok B ima kopiju ISO datoteke s dodatnim konfiguracijama, VM-ovima koji su registrirani u organizaciji i rezervnom bazom podataka. Nakon kvara, Data Center B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrirane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju pripravnosti. — ***Ručno prebacivanje u stanje pripravnosti podatkovnog centra***

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-ova i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u pripravnosti za oporavak od katastrofe za pregled ovog modela nadilaženja greške.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranici, dodajte konfiguraciju u nastavku da biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom.

 pasivni način rada: 'istina'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Nakon konfiguriranja pasivni način u ISO datoteci i spremite je, možete stvoriti drugu kopiju ISO datoteke bez pasivni način konfiguraciju i spremite je na sigurno mjesto. Ova kopija ISO datoteke bez pasivni način konfigurirano može pomoći u brzom procesu prelaska na kvar tijekom oporavak od katastrofe od katastrofe. vidi Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja za detaljan postupak prelaska na grešku.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Ažuriranje certifikata nije potrebno.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy port —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Nijedan — Nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Pripremite svoje okruženje

Zahtjevi za sigurnost hibridnih podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

Prije nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com` . CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-privatni ključ` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2. Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, trebate sljedeću konfiguraciju u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje pružate HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao ime principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za konstruiranje SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.

Prozirni proxy – Cisco Web Security Appliance (WSA).

Eksplicitni proxy – lignje.

Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Da biste zaobišli ovaj problem, pogledajte Konfigurirajte Squid proxy za hibridnu sigurnost podataka .

Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Odaberite naziv domene za svoju HDS implementaciju (na primjer, hds.company.com ) i pribavite lanac certifikata sadrži certifikat X.509, privatni ključ i sve posredničke certifikate. lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi certifikata .

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Budući da čvorovi Hybrid Data Security pohranjuju ključeve koji se koriste u enkripciji i dešifriranju sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NENAKNADIVI GUBITAK tog sadržaja.

Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni su nadoknadivi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše Hybrid Data Security čvorove kao što je navedeno u Zahtjevi za vanjsko povezivanje .

Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Ako vaša organizacija koristi sinkronizaciju imenika, stvorite grupu u Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. The HdsTrialGroup objekt mora biti sinkroniziran s oblakom prije nego što možete pokrenuti probnu verziju za svoju organizaciju. Za sinkronizaciju grupnog objekta, odaberite ga u konektoru imenika Konfiguracija > Odabir objekta izbornik. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector. )

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Ako je kartica onemogućena ili je ne vidite, obratite se svom timu za račun ili partnerskoj organizaciji. Dajte im broj svog računa i zamolite da omogućite svoju organizaciju za Hybrid Data Security. Da biste pronašli broj računa, kliknite zupčanik u gornjem desnom kutu, pored naziva svoje organizacije.

Odaberite ne da biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Za postupak postavljanja potrebne su vjerodajnice računa centra za kontrolu s punim administratorskim pravima za vašu tvrtku ili ustanovu.

Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem varijabli Docker okruženja kada u koraku otvorite Docker spremnik 5 . Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNO_ AGENT_ HTTP_ PROXY=http://SERVER_ IP: PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNO_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP: PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNO_ AGENT_ HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNO_ AGENT_ HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup: stabilan

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker prijava -u hdscustomersro

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stabilan

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stabilan

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stabilan

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stabilan

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web-preglednik da idite na localhost,http://127.0.0.1:8080 , i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odaberete svoju ISO datoteku u pregledavanju i prenesete je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu korisničko ime@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac : ili : .

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevaj TLS

HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina

HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da li naziv hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati ili čvor prekida vezu.

Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada učitate korijenski certifikat (ako je potrebno) i kliknite Nastavi , alat za postavljanje HDS-a testira TLS vezu s poslužitelj baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivanju, HDS čvorovi možda mogu uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS ne može uspješno testirati.)

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako ste postaviti poslužitelj da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514 .
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxVeličina: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Zaporke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliži isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Da biste isključili alat za postavljanje, upišite CTRL+C .

Što učiniti sljedeće

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računski resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Velika slova trenutno nisu podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instaliran je kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za otklanjanje poteškoća

Postavite VM za hibridnu sigurnost podataka

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Skladišta podataka desni klik na pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta na koje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite OK da biste prihvatili upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/ DVD pogon 1 , odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT politika zahtijeva, možete po želji isključiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Bez proxyja —Zadana zadana opcija prije nego što integrirate proxy. Ažuriranje certifikata nije potrebno. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Ažuriranje certifikata nije potrebno. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy port —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Nijedan — Nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da kako biste naznačili da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv klastera kojem želite dodijeliti svoj čvor Hybrid Data Security. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tamo potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registration Complete" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Da biste svom klasteru dodali dodatne čvorove, jednostavno stvorite dodatne VM-ove i montirate istu konfiguracijsku ISO datoteku, a zatim registrirate čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registration Complete" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Prije početka

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup` .)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan nakon zamjene klijentskih predmemorija ključeva za šifriranje.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=kreiraj i kms.data.type=EPHEMERAL_ KLJUČ_ ZBIRKA :

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] primljen, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=kreiraj , kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_ KLJUČ_ ZBIRKA , kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili postoji li korisnik koji traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY :

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] primljen, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_f [~]0, kms.data.method=retrieve , kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY , kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog KMS ključa, uključite filtriranje kms.data.method=kreiraj i kms.data.type=KEY_ ZBIRKA :

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] primljen, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_ 4[~]0, kms.data.method=kreiraj , kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ ZBIRKA , kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog objekta KMS resursa (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=kreiraj i kms.data.type=RESOURCE_ ZBIRKA :

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] primljen, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=kreiraj , kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_ ZBIRKA , kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probnog razdoblja, možete dodati ili ukloniti članove probe u bilo kojem trenutku dok je probno razdoblje aktivno.

Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory (umjesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup ; možete vidjeti članove grupe u Control Hubu, ali ih ne možete dodati ili ukloniti.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi.

Prijeđite s probnog na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

Ako tijekom probnog razdoblja odlučite ne nastaviti s implementacijom Hybrid Data Security, možete deaktivirati Hybrid Data Security, čime se završava probna verzija i premještaju probni korisnici natrag na usluge sigurnosti podataka u oblaku. Korisnici probne verzije izgubit će pristup podacima koji su bili šifrirani tijekom probe.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Softverske nadogradnje za Hybrid Data Security obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verzija softvera. Nadogradnje se rade prema rasporedu nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili koristiti zadani raspored od 3:00 AM u Sjedinjenim Državama: Amerika/Los Angeles. Također možete odabrati odgoditi nadolazeću nadogradnju, ako je potrebno.

Za postavljanje rasporeda nadogradnje:

1	Prijavite se u Kontrolni centar.
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.

Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

Ako alat za postavljanje HDS-a radi iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) kroz varijable Docker okruženja kada pokrenete Docker spremnik u 1.e . Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNO_ AGENT_ HTTP_ PROXY=http://SERVER_ IP: PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNO_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP: PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNO_ AGENT_ HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNO_ AGENT_ HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool.

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:
U redovitim okruženjima:
```
docker rmi ciscocitg/hds-setup: stabilan
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
Da biste se prijavili u Dockerov registar slika, unesite sljedeće:
```
docker prijava -u hdscustomersro
```
Na upit za zaporku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stabilan

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stabilan

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stabilan

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBALNO_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stabilan

Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080".

Koristite preglednik za povezivanje s localhostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite trenutnu konfiguracijsku ISO datoteku.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C .
Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.

Instalirajte HDS host JAJAŠCA.
Podesite HDS VM.
Montirajte ažuriranu konfiguracijsku datoteku.
Registrirajte novi čvor u Control Hubu.

Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora:

Isključite virtualni stroj.
U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite CD/DVD pogon 1, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Connect pri uključivanju.
Uštedite na promjenama i napajanju na virtualnom stroju.

Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Uklonite čvor

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Najkritičnija usluga koju pruža vaš hibridni klaster sigurnosti podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva usmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz na pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite pasivni način konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.

 pasivni način rada: 'lažno'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Što učiniti sljedeće

Nakon kvara, ako primarni podatkovni centar ponovno postane aktivan, ponovno postavite podatkovni centar u stanje pripravnosti u pasivni način slijedeći korake opisane u Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .

(Izborno) Isključite ISO nakon HDS konfiguracije

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavkom Hybrid Data Security, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poštu na konfiguriranu adresa e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster sigurnosti podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite svoju konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako se odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem` .
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem` . Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----POČETAK CERTIFIKATA----- ### Certifikat poslužitelja. ### -----KRAJ CERTIFIKAT----- -----POČETAK CERTIFIKATA----- ### CA certifikat. ### -----KRAJ CERTIFIKAT----- -----POČETAK CERTIFIKATA----- ### Root CA certifikat. ### -----KRAJ CERTIFIKATA-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-privatni ključ` . `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -u hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-privatni ključ` . Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Unesite lozinku za uvoz: MAC provjereni OK Atributi torbe friendlyName: kms-privatni ključ localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera - unesite PEM lozinku: -----POČNITE KRIPIRANI PRIVATNI KLJUČ----- -----KRAJ ŠIFRIRANI PRIVATNI KLJUČ----- Atributi torbe friendlyName: kms-privatni ključ localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Encrypt/CN=Let's Encrypt Authority ---POČETAK CERTIFIKATA----- -----KRAJ CERTIFIKAT----- Atributi torbe friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 izdavač=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----POČETAK CERTIFIKATA----- -----KRAJ CERTIFIKATA-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Squid proxyji koji provjeravaju HTTPS promet mogu ometati uspostavljanje websocketa ( wss: ) veze koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida koje se ignoriraju wss: prometa za pravilan rad usluga.

Lignje 4 i 5

Dodajteon_unsupported_protocol direktiva za lignje.conf :

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex živa-vezassl_bump spajanje wssMercuryConnection acl korak1at_step SslBump1 acl korak 2at_step SslBump2 acl korak 3at_step SslBump3ssl_bump zavirite korak1 svessl_bump bulji korak2 svessl_bump bump step3 sve

Predgovor

Nove i promijenjene informacije

Datum

Promjene napravljene

20. listopada 2023

Ažurirane informacije u Zahtjevi poslužitelja baze podataka .
Dodano Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe .
Ažurirane informacije u Podatkovni centar u pripravnosti za oporavak od katastrofe i Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

07. kolovoza 2023

Dodana je bilješka u Preuzmite instalacijske datoteke .
Dodana je bilješka u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

23. svibnja 2023

Izbrisane informacije iz Zahtjevi poslužitelja baze podataka zahtijevajući da se značajka omogući kontaktiranjem tima za račun.
Ažurirane informacije u Zahtjevi za vanjsko povezivanje i dodao Kanadu u tablicu domaćina CI.
Dodana je bilješka u Očekivanja za implementaciju hibridne sigurnosti podataka u vezi s nedostupnošću mehanizama za pomicanje ključeva natrag u oblak.

06. prosinca 2022

Slike alata za postavljanje HDS-a sada se nalaze u ciscocitg dockerhub repozitorij.
Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora teme za odraz promjena u naredbama.

23. studenog 2022

HDS čvorovi sada mogu koristiti Windows autentifikaciju protiv Microsoft SQL Servera.

Ažurirano Zahtjevi poslužitelja baze podataka tema s dodatnim zahtjevima za ovaj način provjere autentičnosti.

Ažurirano Izradite konfiguracijski ISO za HDS hostove s postupkom za konfiguriranje Windows provjere autentičnosti na čvorovima.
Ažurirano Zahtjevi poslužitelja baze podataka temu s novim minimalno potrebnim verzijama (PostgreSQL 10).

13. listopada 2021

Docker Desktop mora pokrenuti program za postavljanje prije nego što možete instalirati HDS čvorove. vidi Zahtjevi za Docker Desktop .

24. lipnja 2021

Primijetili smo da možete ponovno upotrijebiti datoteku privatnog ključa i CSR da biste zatražili drugi certifikat. vidi Koristite OpenSSL za generiranje PKCS12 datoteke za detalje.

30. travnja 2021.

Promijenjen zahtjev za VM za lokalni prostor na tvrdom disku na 30 GB. vidi Zahtjevi virtualnog hosta za detalje.

24. veljače 2021

HDS Setup Tool sada može raditi iza proxyja. vidi Izradite konfiguracijski ISO za HDS hostove za detalje.

2. veljače 2021

HDS sada može raditi bez montirane ISO datoteke. vidi (Izborno) Isključite ISO nakon HDS konfiguracije za detalje.

11. siječnja 2021

Dodane su informacije o alatu za postavljanje HDS-a i proxyjima Izradite konfiguracijski ISO za HDS hostove .

13. listopada 2020

8. listopada 2020.

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s naredbama za FedRAMP okruženja.

14. kolovoza 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora s promjenama u procesu prijave.

5. kolovoza 2020

Ažurirano Testirajte svoju implementaciju sigurnosti hibridnih podataka za promjene u porukama dnevnika.

Ažurirano Zahtjevi virtualnog hosta za uklanjanje maksimalni broj hostova.

16. lipnja 2020

Ažurirano Uklonite čvor za promjene u korisničkom sučelju Control Hub-a.

4. lipnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove za promjene u naprednim postavkama koje biste mogli postaviti.

29. svibnja 2020

Ažurirano Izradite konfiguracijski ISO za HDS hostove kako bismo pokazali da također možete koristiti TLS s bazama podataka SQL Servera, promjenama korisničkog sučelja i drugim pojašnjenjima.

5. svibnja 2020

Ažurirano Zahtjevi virtualnog hosta prikazati novi zahtjev ESXi 6.5.

21. travnja 2020

Ažurirano Zahtjevi za vanjsko povezivanje s novim domaćinima Americas CI.

1. travnja 2020.

Ažurirano Zahtjevi za vanjsko povezivanje s informacijama o regionalnim CI domaćinima.

20. veljače 2020 Ažurirano Izradite konfiguracijski ISO za HDS hostove s informacijama na novom opcionalnom zaslonu naprednih postavki u alatu za postavljanje HDS-a.

4. veljače 2020 Ažurirano Zahtjevi proxy poslužitelja .

16. prosinca 2019. Pojašnjen je zahtjev za rad u načinu rada Blocked External DNS Resolution Mode Zahtjevi proxy poslužitelja .

19. studenog 2019

Dodane su informacije o načinu razlučivanja blokiranog vanjskog DNS -a u sljedećim odjeljcima:

Podrška za proxy
Konfigurirajte HDS čvor za proxy integraciju
Isključite način razlučivanja blokiranog vanjskog DNS -a

8. studenog 2019

Sada možete konfigurirati mrežne postavke za čvor tijekom implementacije OVA umjesto kasnije.

U skladu s tim ažurirani su sljedeći odjeljci:

Tijek zadatka implementacije hibridne sigurnosti podataka
Instalirajte HDS Host OVA
Postavite VM za hibridnu sigurnost podataka

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

6. rujna 2019

Dodan SQL Server Standard u Zahtjevi poslužitelja baze podataka .

29. kolovoza 2019. Dodano Konfigurirajte Squid proxy za hibridnu sigurnost podataka dodatak sa uputama za konfiguriranje proxyja Squid za zanemarivanje prometa websocketa radi ispravnog rada.

20. kolovoza 2019

Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikacije čvora Hybrid Data Security u oblaku Webex .

Podrška za proxy
Zahtjevi proxy poslužitelja
Konfigurirajte HDS čvor za proxy integraciju

Da biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte Proxy podrška za hibridnu sigurnost podataka i Webex Video Mesh članak pomoći.

6. ožujka 2019

Premješteni zahtjevi i preduvjeti u posebno poglavlje, Pripremite svoje okruženje .
Dodano Tijek zadatka implementacije hibridne sigurnosti podataka pregled u poglavlju Postavite hibridni klaster sigurnosti podataka .

Primijetili smo da sve dok ne započnete probnu verziju (koristeći upute u sljedećem poglavlju) vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.
Dodano Tijek zadatka od probnog do proizvodnog u poglavlju Pokrenite probnu verziju i prijeđite u produkciju .

28. veljače 2019.

Ispravljena je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali izdvojiti kada pripremate virtualne hostove koji postaju čvorovi Hybrid Data Security, s 50 GB na 20 GB, kako bi se odrazila veličina diska koju stvara OVA.

26. veljače 2019.

Čvorovi Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za bilježenje na poslužitelj syslog koji podržava TLS. Ažurirano Izradite konfiguracijski ISO za HDS hostove s uputama.
Odredišni URL-ovi uklonjeni su iz tablice "Zahtjevi za internetsku povezanost za hibridne sigurnosne čvorove VM-a". Tablica se sada odnosi na popis koji se održava u tablici "Dodatni URL-ovi za hibridne usluge Webex Teams" Mrežni zahtjevi za usluge Webex Teams .

24. siječnja 2019

5. studenog 2018

Dodan je preliminarni korak za čišćenje svih postojećih docker hds instanci Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .
Ažuriran korak u razini pristupa ključu Izradite konfiguracijski ISO za HDS hostove da odgovara sučelju.

19. listopada 2018

Podijelite informacije o povezivanju vatrozida na zahtjeve čvora i zahtjeve stroja za ISO konfiguraciju Ispunite preduvjete za sigurnost hibridnih podataka .

31. srpnja 2018

Dodan port 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida Ispunite preduvjete za sigurnost hibridnih podataka .

21. svibnja 2018.

Promijenjena terminologija koja odražava rebranding Cisco Spark:

Cisco Spark Hybrid Data Security sada je Hybrid Data Security.
Aplikacija Cisco Spark sada je aplikacija Webex .
Cisco Collaboraton Cloud sada je Webex oblak.

11. travnja 2018

Dodano Podatkovni centar u pripravnosti za oporavak od katastrofe .
Ažurirano Ispunite preduvjete za sigurnost hibridnih podataka da navedete da okruženje sigurnosne kopije treba biti u drugom podatkovni centar.
Ažurirano Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja .

22. veljače 2018

Dodane su informacije o lozinki račun usluge 9-mjesečni životni vijek i korištenje alata za postavljanje HDS-a za poništavanje lozinki račun usluge , u Izradite konfiguracijski ISO za HDS hostove i Promijenite konfiguraciju čvora .

15. veljače 2018.

U X.509 Zahtjevi certifikata tablica, specificira da certifikat ne može biti potvrda zamjenskih znakova i da KMS koristi CN domenu, a ne bilo koju domenu koja je definirana u x.509v3 SAN poljima.

18. siječnja 2018.

Dodan dodatak, Promet između HDS čvorova i oblaka .
Uklonjen riješen problem iz Poznati problemi za sigurnost hibridnih podataka .
Promijenjen index.docker.io u *.docker.io i dodan *.cloudfront.net na popis zahtjeva za TCP povezivanje za HDS čvorove u Ispunite preduvjete za sigurnost hibridnih podataka .
Ažurirano Izradite konfiguracijski ISO za HDS hostove da biste označili da ako host baze podataka i Syslogd poslužitelj nisu DNS-razrješivi iz HDS čvorova, morate ih konfigurirati koristeći IP adrese.

2. studenog 2017

Pojašnjena sinkronizacija imenika HdsTrialGroup.
Popravljene upute za učitavanje ISO konfiguracijska datoteka za montiranje na VM čvorove.

18. kolovoza 2017

Prvi put objavljeno

Započnite s hibridnom sigurnošću podataka

Pregled sigurnosti hibridnih podataka

Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u oblaku KMS, u Ciscovom sigurnosnom području. Hybrid Data Security premješta KMS i druge sigurnosne funkcije u vaš podaci poduzeća centar, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Arhitektura sigurnosnog područja

Arhitektura oblaka Webex razdvaja različite vrste usluga u zasebne domene ili domene povjerenja, kao što je prikazano u nastavku.

Klijent uspostavlja sigurna veza s uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifriranje poruke. sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrirana prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka je pohranjena u području pohrane.

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija Hybrid Data Security zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju Hybrid Data Security morate osigurati:

Siguran podatkovni centar u zemlji koja je podržano mjesto za planove Cisco Webex Teams .
Oprema, softver i pristup mreži opisani u Pripremite svoje okruženje .

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO konfiguracije.
Budite spremni izvesti brzi oporavak od katastrofe od katastrofe ako se dogodi katastrofa, kao što je kvar diska baze podataka ili katastrofa podatkovni centar .

Ne postoji mehanizam za premještanje ključeva natrag u oblak nakon implementacije HDS-a.

Proces postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje Hybrid Data Security implementacijom:

Postavite hibridnu sigurnost podataka —To uključuje pripremu potrebne infrastrukture i instaliranje softvera Hybrid Data Security, testiranje vaše implementacije s podskupom korisnika u probnom načinu rada i, nakon što je testiranje završeno, prelazak na proizvodnju. To pretvara cijelu organizaciju da koristi vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.
Faze postavljanja, ispitivanja i proizvodnje detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju Hybrid Data Security — Webex oblak automatski pruža stalne nadogradnje. Vaš IT odjel može pružiti podršku razine jedan za ovu implementaciju i angažirati Ciscova podrška prema potrebi. Možete koristiti obavijesti na zaslonu i postaviti upozorenja temeljena na e-pošti u Control Hubu.
Razumjeti uobičajena upozorenja, korake za rješavanje problema i poznate probleme —Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Security, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i riješite problem.

Model implementacije hibridne sigurnosti podataka

Model implementacije hibridne sigurnosti podataka

Čvorovi postaju aktivni kada ih registrirate u Control Hubu. Da biste isključili pojedini čvor iz usluge, možete ga odjaviti, a kasnije ga ponovno registrirati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Probni način sigurnosti hibridnih podataka

Podatkovni centar u pripravnosti za oporavak od katastrofe

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovni centar kao i aktivni poslužitelj baze podataka.

Postavite podatkovni centar u stanju čekanja za oporavak od katastrofe

Slijedite korake u nastavku da biste konfigurirali ISO datoteku podatkovni centar u stanju čekanja:

Prije početka

podatkovni centar u stanju čekanja trebao bi odražavati proizvodno okruženje VM-ova i sigurnosnu kopiju baze podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, okruženje sigurnosne kopije treba imati 3 VM-a. (Vidi Podatkovni centar u pripravnosti za oporavak od katastrofe za pregled ovog modela nadilaženja greške.)
Provjerite je li sinkronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovni centar na kojoj se trebaju izvršiti sljedeća ažuriranja konfiguracije.

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke


passiveMode: 'true'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Provjerite syslogove kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogovima.

Što učiniti sljedeće

Podrška za proxy

Hybrid Data Security podržava eksplicitne, transparentne proxy i neinspekciju proxyja. Ove proxy servere možete povezati sa svojom implementacijom tako da možete osigurati i pratiti promet iz poduzeća u oblak. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru ukupnog statusa povezivanja nakon što postaviti proxy na čvorove.

Čvorovi Hybrid Data Security podržavaju sljedeće proxy opcije:

Nema proxyja —Zadana postavka ako ne koristite konfiguraciju HDS čvora Trust Store & Proxy za integraciju proxyja. Nije potrebno ažuriranje certifikata.
Transparentni proxy bez inspekcije — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata.
Transparentno tuneliranje ili proxy za inspekciju — Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Na čvorovima nisu potrebne promjene konfiguracije HTTP ili HTTPS. Međutim, čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy —S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti da koriste. Da biste konfigurirali eksplicitni proxy, morate unijeti sljedeće podatke na svakom čvoru:
1. Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju.
2. Proxy port —Broj porta koji proxy koristi za slušanje proxy prometa.
3. Proxy protokol — Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP—Pregledava i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS—pruža kanal za poslužitelj. Klijent prima i potvrđuje certifikat poslužitelja.
4. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti:
  - Nijedan — Nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
  - Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako odaberete HTTP ili HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.
  - Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako odaberete HTTPS kao proxy protokol.
    
    Zahtijeva da unesete korisničko ime i lozinku na svakom čvoru.

Primjer hibridnih čvorova za sigurnost podataka i proxyja

Blokirani način razlučivanja vanjskog DNS -a (eksplicitne proxy konfiguracije)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s oblakom Cisco Webex . U implementacijama s eksplicitnim proxy konfiguracijama koje ne dopuštaju vanjsko DNS razlučivanje za interne klijente, ako čvor ne može upitati DNS poslužitelje, automatski prelazi u način Blocked External DNS Resolution. U ovom načinu može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Pripremite svoje okruženje

Zahtjevi za sigurnost hibridnih podataka

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Vidihttps://www.cisco.com/go/pro-pack .)

Zahtjevi za Docker Desktop

X.509 Zahtjevi certifikata

lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavač certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ovima na Mozilla popisu (s izuzetkom WoSign i StartCom) nahttps://wiki.mozilla.org/CA:IncludedCAs .
Nosi naziv naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti biti domaćin uživo. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (zamjenski znak). CN se koristi za provjeru čvorova Hybrid Data Security za klijente Webex aplikacije. Svi čvorovi Hybrid Data Security u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene koja je definirana u x.509v3 SAN poljima. Nakon što ste registrirali čvor s ovim certifikatom, ne podržavamo promjenu naziva CN naziv domene. Odaberite domenu koja se može primijeniti i na probnu i na proizvodnu implementaciju.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatirano kao PKCS #12 datoteka zaštićena lozinkom Koristite prijateljsko ime `kms-private-key` za označavanje certifikata, privatnog ključa i svih posrednih certifikata za prijenos.	Možete koristiti pretvarač kao što je OpenSSL za promjenu formata certifikata. Morat ćete unijeti lozinku kada pokrenete HDS Setup Tool.

Zahtjevi virtualnog hosta

Virtualni hostovi koje ćete postaviti kao Hybrid Data Security čvorove u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (3 preporučena) smještena u istom sigurnom podatkovni centar
VMware ESXi 6.5 (ili noviji) je instaliran i radi.

Morate nadograditi ako imate stariju verziju ESXi.
Najmanje 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Napravite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

Instaliran SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard).

SQL Server 2016 zahtijeva servisni paket 2 i kumulativno ažuriranje 2 ili noviji.

HDS softver trenutno instalira sljedeće verzije drajvera za komunikaciju s poslužitelj baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC drajver 42.2.5

SQL Server JDBC upravljački program 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( Uvijek uključene instance klastera za napuštanje greške i Grupe dostupnosti Always On ).

Dodatni zahtjevi za Windows autentifikaciju na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka ključeva na Microsoft SQL Serveru, trebate sljedeću konfiguraciju u vašem okruženju:

HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje pružate HDS čvorovima moraju moći riješiti vaš centar za distribuciju ključeva (KDC).
Instancu baze podataka HDS možete registrirati na svom Microsoft SQL Serveru kao ime principala usluge (SPN) na vašem Active Directory. vidi Registrirajte naziv glavne usluge za Kerberos veze .

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Oni koriste pojedinosti iz vaše ISO konfiguracije za konstruiranje SPN-a kada traže pristup s Kerberos provjerom autentičnosti.

Zahtjevi za vanjsko povezivanje

Konfigurirajte svoj vatrozid da omogući sljedeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne sigurnosti podataka	TCP	443	Odlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi hostovi Common Identity Ostali URL-ovi koji su navedeni za sigurnost hibridnih podataka u Dodatni URL-ovi za Webex hibridne usluge stol od Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi Common Identity hub.docker.com

URL-ovi za hostove zajedničkog identiteta (CI) su specifični za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahtjevi proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Hybrid Data Security čvorovima.

Transparentni proxy— Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne proxy servere:
- Nema provjere autentičnosti s HTTP ili HTTPS
- Osnovna provjera autentičnosti s HTTP ili HTTPS
- Digest autentifikacija samo s HTTPS-om
Za transparentni proxy proxy ili HTTPS eksplicitni proxy, morate imati kopiju korijenski certifikat proxyja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u skladišta povjerenja čvorova Hybrid Data Security.
Mreža koja hostira HDS čvorove mora biti konfigurirana da prisili izlazni TCP promet na portu 443 da usmjeri kroz proxy.
Proksiji koji provjeravaju web promet mogu ometati veze web utičnice. Ako se ovaj problem pojavi, zaobići (ne provjeravati) promet do wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za sigurnost hibridnih podataka

Upotrijebite ovaj popis za provjeru kako biste bili sigurni da ste spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

Napravite bazu podataka za pohranu ključeva. (Morate kreirati ovu bazu podataka—nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.)
Prikupite pojedinosti koje će čvorovi koristiti za komunikaciju s poslužitelj baze podataka:
- naziv ime organizatora ili IP adresa (host) i port
- naziv baze podataka (dbname) za pohranu ključeva
- korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva

Postavite host syslog za prikupljanje zapisnika s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).

Klijenti aplikacije Webex spremaju svoje ključeve, tako da kvar možda neće biti odmah uočljiv, ali će s vremenom postati očigledan. Iako je privremene prekide nemoguće spriječiti, oni su nadoknadivi. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima o korisnicima. Od operatera čvorova Hybrid Data Security se očekuje da održavaju česte sigurnosne kopije baze podataka i konfiguracijske ISO datoteke te da budu spremni za ponovnu izgradnju podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.

Osigurajte da konfiguracija vatrozida dopušta povezivanje za vaše Hybrid Data Security čvorove kao što je navedeno u Zahtjevi za vanjsko povezivanje .

Instancu Dockera koristite za preuzimanje i pokretanje alata za postavljanje HDS-a, koji gradi konfiguracijska informacija za sve čvorove Hybrid Data Security. Vaša organizacija možda treba licencu Docker Desktop. vidi Zahtjevi za Docker Desktop za više informacija.

Da biste instalirali i pokrenuli alat za postavljanje HDS-a, lokalni stroj mora imati opisanu povezanost Zahtjevi za vanjsko povezivanje .

Ako integrirate proxy s Hybrid Data Security, provjerite zadovoljava li Zahtjevi proxy poslužitelja .

Postavite hibridni klaster sigurnosti podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

Preuzmite OVA datoteku na svoj lokalni stroj za kasniju upotrebu.

Koristite alat za postavljanje HDS-a za stvaranje ISO konfiguracijska datoteka za čvorove Hybrid Data Security.

Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA.

Konfigurirajte VM iz ISO konfiguracijska datoteka koju ste kreirali pomoću alata za postavljanje HDS-a.

Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete koristiti za čvor i dodajte proxy certifikat u skladište povjerenja ako je potrebno.

Registrirajte VM u oblaku Cisco Webex kao čvor za hibridnu sigurnost podataka.

Dovršite postavljanje klastera.

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoj stroj (ne na poslužitelje koje ste postaviti kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

Prijavite se nahttps://admin.webex.com , a zatim kliknite Usluge .

U odjeljku Hybrid Services pronađite karticu Hybrid Data Security, a zatim kliknite Postavite .

Odaberite ne da biste naznačili da još niste postaviti čvor, a zatim kliknite Dalje .

OVA datoteka automatski počinje preuzimati. Spremite datoteku na mjesto na vašem računalu.

Po želji, kliknite Otvorite Vodič za implementaciju kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite konfiguracijski ISO za HDS hostove

Proces postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg hosta Hybrid Data Security.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. Potrebna vam je najnovija kopija ove datoteke svaki put kada izvršite promjene u konfiguraciji, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u politici autorizacije
Ako planirate šifrirati veze baze podataka, postaviti svoju implementaciju PostgreSQL ili SQL Server za TLS.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:

U uobičajenim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.

Da biste se prijaviti se registar Docker slika, unesite sljedeće:

docker login -u hdscustomersro

Na upit za lozinku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Upotrijebite web-preglednik da idite na localhost, http://127.0.0.1:8080, i unesite korisničko ime administratora korisnika za Control Hub na upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat tada prikazuje standardni upit za prijavu.

Na stranici Pregled alata za postavljanje kliknite Započnite .

Na ISO uvoz stranicu, imate ove opcije:

ne —Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
da —Ako ste već kreirali HDS čvorove, tada odaberete svoju ISO datoteku u pregledavanju i prenesete je.

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 Zahtjevi certifikata .

Ako nikada prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite Nastavi .
Ako je vaš certifikat u redu, kliknite Nastavi .
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite ne za Želite li nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a? . Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi .

Unesite adresu baze podataka i račun za HDS za pristup vašoj ključnoj pohrani podataka:

Odaberite svoje Vrsta baze podataka ( PostgreSQL ili Microsoft SQL Server ).

Ako odaberete Microsoft SQL Server , dobivate polje vrsta provjere autentičnosti .
( Microsoft SQL Server samo) Odaberite svoje vrsta provjere autentičnosti :
- Osnovna provjera autentičnosti : Trebate naziv lokalnog naziv računa SQL Servera u Korisničko ime polju.
- Windows autentifikacija : Potreban vam je Windows račun u formatu username@DOMAIN u Korisničko ime polju.
Unesite adresu poslužitelj baze podataka u obrazac <hostname>:<port> ili <IP-address>:<port>.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresa za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje imena hosta.

Ako koristite Windows autentifikaciju, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka .
Unesite Korisničko ime i Lozinka korisnika sa svim privilegijama u bazi podataka za pohranu ključeva.

Odaberite a TLS način povezivanja baze podataka :

Način rada

Opis

Radije TLS (zadana opcija)

HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužitelj baze podataka. Ako omogućite TLS na poslužitelj baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.

Zahtijevajte TLS

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.

Zahtijevajte TLS i potvrdite potpisnika certifikata

Ovaj način rada nije primjenjiv za baze podataka SQL Servera.

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Zahtijevajte TLS i provjerite potpisnika certifikata i ime hosta

HDS čvorovi se povezuju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelj baze podataka s certifikacijskim tijelom u korijenski certifikat baze podataka . Ako se ne podudaraju, čvor prekida vezu.
Čvorovi također provjeravaju da li naziv hosta u certifikat poslužitelja odgovara imenu hosta u Host i port baze podataka polju. Imena se moraju točno podudarati, inače čvor prekida vezu.

Koristite korijenski certifikat baze podataka kontrolu ispod padajućeg izbornika za prijenos korijenski certifikat za ovu opciju.

Kada učitate korijenski certifikat (ako je potrebno) i kliknite Nastavi , alat za postavljanje HDS-a testira TLS vezu s poslužitelj baze podataka. Alat također provjerava potpisnika certifikata i ime hosta, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o poruka o pogrešci opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s postavljanjem. (Zbog razlika u povezivanju, HDS čvorovi možda mogu uspostaviti TLS vezu čak i ako je stroj alata za postavljanje HDS ne može uspješno testirati.)

Na stranici System Logs, konfigurirajte svoj Syslogd poslužitelj:

Unesite URL poslužitelja syslog.

Ako poslužitelj nije DNS-razrješiv iz čvorova za vaš HDS klaster, upotrijebite IP adresa u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd host 10.92.43.23 na UDP port 514.
Ako ste postaviti poslužitelj da koristi TLS enkripciju, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju? .

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je npr tcp://10.92.43.23:514.
Od Odaberite završetak syslog zapisa padajućem izborniku odaberite odgovarajuću postavku za svoju ISO datoteku: Choose ili Newline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novi redak -- \n —Odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

(Izborno) Možete promijeniti zadana vrijednost za neke parametre povezivanja baze podataka u Napredne postavke . Općenito, ovaj parametar je jedini koji biste možda željeli promijeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nastavi na Poništi lozinku za račune usluge zaslon.

Zaporke računa usluge imaju vijek trajanja od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliži isteku ili ih želite poništiti kako biste poništili prethodne ISO datoteke.

Kliknite Preuzmite ISO datoteku . Spremite datoteku na mjesto koje je lako pronaći.

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Da biste isključili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovaj postupak za stvaranje virtualno računalo iz OVA datoteke.

Upotrijebite VMware vSphere klijent na svom računalu za prijavu na ESXi virtualni host.

Odaberite Datoteka > Postavite OVF predložak .

U čarobnjaku navedite mjesto OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje .

Na Odaberite računalni resurs stranicu, odaberite odredišni računski resurs, a zatim kliknite Dalje .

Pokreće se provjera valjanosti. Nakon što završi, pojavljuju se detalji predloška.

Provjerite detalje predloška, a zatim kliknite Dalje .

Ako se od vas traži da odaberete konfiguraciju resursa na Konfiguracija stranicu, kliknite 4 CPU a zatim kliknite Dalje .

Na Odaberite pohranu stranicu, kliknite Dalje za prihvaćanje zadanog formata diska i pravila pohrane VM -a.

Na Odaberite mreže na stranici, odaberite opciju mreže s popisa unosa kako biste pružili željenu povezanost s VM-om.

Na Prilagodite predložak stranicu, konfigurirajte sljedeće mrežne postavke:

Ime hosta —Unesite FQDN (ime hosta i domenu) ili jednu riječ hostname za čvor.

Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili imenu hosta koje ste postavili za čvor. Upotreba velikih slova trenutno nije podržana.
Ukupna duljina FQDN-a ne smije biti veća od 64 znaka.

IP adresa — Unesite IP adresa za interno sučelje čvora.

Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
Maska —Unesite adresu maska podmreže u decimalnom zapisu. na primjer, 255.255.255.0 .
Gateway —Unesite IP adresa pristupnika. Gateway je mrežni čvor koji služi kao pristupna točka drugoj mreži.
DNS poslužitelji —Unesite popis DNS poslužitelja odvojenih zarezima, koji se bave prevođenjem naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.)
NTP poslužitelji —Unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja.

Postavite sve čvorove na istoj podmreži ili VLAN-u, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti upute Postavite VM za hibridnu sigurnost podataka za konfiguriranje postavki s konzole čvora.

Opcija za konfiguriranje mrežnih postavki tijekom implementacije OVA testirana je s ESXi 6.5. Opcija možda neće biti dostupna u starijim verzijama.

Desnom tipkom miša kliknite VM čvora, a zatim odaberite Snaga > Uključeno .

Softver Hybrid Data Security instaliran je kao gost na VM Host. Sada ste spremni za prijaviti se na konzolu i konfiguriranje čvora.

Savjeti za rješavanje problema

Postavite VM za hibridnu sigurnost podataka

1	U VMware vSphere klijentu odaberite svoj Hybrid Data Security čvor VM i odaberite Konzola tab. VM se pokreće i pojavljuje se prompt za prijavu. Ako se prompt za prijavu ne prikaže, pritisnite Uđi .
2	Za prijaviti se i promjenu vjerodajnica koristite sljedeću zadanu prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM , morate promijeniti lozinku administratora.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA , preskočite ostatak ovog postupka. Inače, u glavni izbornik odaberite Uredi konfiguraciju opcija.
4	Postavite statičku konfiguraciju s IP adresa, maskom, pristupnikom i DNS informacijama. Vaš čvor bi trebao imati internu IP adresa i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv hosta, domenu ili NTP poslužitelj(e) ako je potrebno da odgovara vašim mrežnim pravilima. Ne morate postaviti domenu da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prenesite i montirajte ISO konfiguraciju HDS-a

Koristite ovaj postupak za konfiguriranje virtualno računalo iz ISO datoteke koju ste kreirali pomoću alata za postavljanje HDS-a.

Prije početka

Prenesite ISO datoteku sa svog računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite Skladištenje .
Na popisu Skladišta podataka desni klik na pohranu podataka za vaše VM-ove i kliknite Pregledajte Datastore .
Kliknite na ikonu Upload Files, a zatim kliknite Prenesite datoteku .
Dođite do mjesta na koje ste preuzeli ISO datoteku na svoje računalo i kliknite Otvori .
Kliknite da da prihvatite upozorenje o operaciji prijenosa/preuzimanja i zatvorite dijaloški okvir za pohranu podataka.

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite OK da biste prihvatili upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke skladišta podataka i pronađite mjesto na koje ste prenijeli konfiguracijsku ISO datoteku.
Provjerite Povezano i Spojite se pri uključenju .
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Konfigurirajte HDS čvor za proxy integraciju

Prije početka

vidi Podrška za proxy za pregled podržanih opcija proxyja.
Zahtjevi proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-pregledniku unesite vjerodajnice administratora koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Trust Store & Proxy , a zatim odaberite opciju: Bez proxyja —Zadana zadana opcija prije nego što integrirate proxy. Nije potrebno ažuriranje certifikata. Transparentni proxy bez inspekcije —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Nije potrebno ažuriranje certifikata. Transparentni proxy za inspekciju —Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelj . Za implementaciju Hybrid Data Security nisu potrebne promjene konfiguracije HTTPS-a, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. Proxy proxy obično koristi IT za provođenje pravila o tome koja web-mjesta mogu biti posjećena i koje vrste sadržaja nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy —S eksplicitnim proxyjem, vi kažete klijentu (HDS čvorovima) koji proxy poslužitelj da koristi, a ova opcija podržava nekoliko tipova provjere autentičnosti. Nakon što odaberete ovu opciju, morate unijeti sljedeće podatke: Proxy IP/FQDN —Adresa koja se može koristiti za pristup proxy stroju. Proxy port —Broj porta koji proxy koristi za slušanje proxy prometa. Proxy protokol — Biraj http (pregleda i kontrolira sve zahtjeve koji zaprime od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i potvrđuje certifikat poslužitelja). Odaberite opciju na temelju onoga što vaš proxy poslužitelj podržava. vrsta provjere autentičnosti — Odaberite između sljedećih vrsta provjere autentičnosti: Nijedan — Nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS proxy servere. Osnovni —Koristi se za HTTP korisnički agent za davanje korisničkog imena i lozinke prilikom postavljanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Sažetak — Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje hash funkciju na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS proxy servere. Ako odaberete ovu opciju, također morate unijeti korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy proxy, eksplicitni HTTP proxy s osnovnom provjerom autentičnosti ili eksplicitni HTTPS proxy.
3	Kliknite Prenesite korijenski certifikat ili certifikat krajnjeg entiteta , a zatim idite na odabir korijenski certifikat za proxy. Certifikat je učitan, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona uz naziv izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjerite proxy vezu za testiranje mrežne povezanosti između čvora i proxyja. Ako test veze ne uspije, vidjet ćete poruku o poruka o pogrešci koja pokazuje razlog i kako možete ispraviti problem. Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS. Ovaj uvjet se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blocked External DNS Resolution. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način razlučivanja blokiranog vanjskog DNS -a .
5	Nakon što test veze prođe, za eksplicitni proxy postavljen samo na https, uključite prekidač na Usmjerite sve zahtjeve za port 443/444 https s ovog čvora kroz eksplicitni proxy . Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instalirajte sve certifikate u Trust Store (pojavljuje se za HTTPS eksplicitni proxy ili transparentni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za eksplicitni HTTP proxy), pročitajte upit, a zatim kliknite Instalirajte ako ste spremni. Čvor se ponovno pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovno pokrene, ponovno se prijaviti se ako je potrebno, a zatim otvorite Pregled stranicu da provjerite provjere povezivanja kako biste bili sigurni da su sve u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s vezom, uobičajen je problem da su neke od domena oblaka navedene u uputama za instalaciju blokirane na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u Postavite VM za hibridnu sigurnost podataka , registrira čvor u Webex oblaku i pretvara ga u čvor Hybrid Data Security.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni kako bi osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge .
3	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavite . Pojavljuje se stranica Registriraj hibridni sigurnosni čvor.
4	Odaberite da kako biste naznačili da ste postaviti čvor i da ste spremni za registraciju, a zatim kliknite Dalje .
5	U prvo polje unesite naziv klastera kojem želite dodijeliti svoj čvor Hybrid Data Security. Preporučujemo da imenujete klaster na temelju toga gdje se čvorovi klastera geografski nalaze. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Ova IP adresa ili FQDN bi se trebali podudarati s IP adresa ili imenom hosta i domenom na kojoj ste se koristili Postavite VM za hibridnu sigurnost podataka . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor na Webex.
7	Kliknite Idite na Node .
8	Kliknite Nastavi u poruka upozorenja. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tamo potvrđujete da želite svojoj Webex organizaciji dati dopuštenja za pristup vašem čvoru.
9	Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registration Complete" označava da je vaš čvor sada registriran u Webex oblaku.
10	Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Na Hibridna sigurnost podataka stranici, prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti u roku od 60 minuta ili morate početi ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopustite iznimku za admin.webex.com.

1	Izradite novi virtualno računalo iz OVA, ponavljajući korake u Instalirajte HDS Host OVA .
2	Postavite početnu konfiguraciju na novom VM-u, ponavljajući korake u Postavite VM za hibridnu sigurnost podataka .
3	Na novom VM-u ponovite korake u Prenesite i montirajte ISO konfiguraciju HDS-a .
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za proxy integraciju prema potrebi za novi čvor.
5	Registrirajte čvor. uhttps://admin.webex.com , odaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Hybrid Services pronađite karticu Hybrid Data Security i kliknite Resursi . Pojavljuje se stranica Resursi za sigurnost hibridnih podataka. Kliknite Dodaj resurs . U prvom polju odaberite naziv postojećeg klastera. U drugo polje unesite internu IP adresa ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite Dalje . Pojavljuje se poruka koja pokazuje da možete registrirati svoj čvor u Webex oblaku. Kliknite Idite na Node . Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivanja čvorova za Webex usluge. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup sigurnosnom čvoru hibridnih podataka. Tu potvrđujete da želite svojoj organizaciji dati dopuštenja za pristup vašem čvoru. Provjerite Dopustite pristup vašem hibridnom sigurnosnom čvoru podataka potvrdni okvir, a zatim kliknite Nastavi . Vaš je račun potvrđen i poruka "Registration Complete" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu da biste se vratili na stranicu Control Hub Hybrid Data Security. Vaš čvor je registriran. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generiraju alarm koji pokazuje da vaša usluga još nije aktivirana.

Što učiniti sljedeće

Pokrenite probnu verziju i prijeđite u produkciju (sljedeće poglavlje)

Pokrenite probnu verziju i prijeđite u produkciju

Tijek zadatka od probnog do proizvodnog

Prije početka

Nakon što konfigurirate passiveMode u ISO datoteku i spremite je, možete stvoriti drugu kopiju ISO datoteke bez konfiguracije passiveMode i spremiti je na sigurno mjesto. Ova kopija ISO datoteke bez konfigurirane passiveMode može pomoći u brzom postupku prebacivanja tijekom oporavka od katastrofe. Pogledajte odjeljak Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti za detaljan postupak prebacivanja.

1	Ako je primjenjivo, sinkronizirajte `HdsTrialGroup` grupni objekt. Ako vaša organizacija koristi sinkronizaciju imenika za korisnike, morate odabrati `HdsTrialGroup` grupni objekt za sinkronizaciju s oblakom prije nego što možete pokrenuti probnu verziju. Za upute pogledajte Vodič za implementaciju za Cisco Directory Connector.
2	Aktivirajte probnu verziju Započnite probu. Dok ne izvršite ovaj zadatak, vaši čvorovi generiraju alarm koji pokazuje da usluga još nije aktivirana.
3	Testirajte svoju implementaciju sigurnosti hibridnih podataka Provjerite prolaze li ključni zahtjevi vašoj implementaciji Hybrid Data Security.
4	Pratite zdravlje hibridne sigurnosti podataka Provjerite status i postaviti obavijesti e-poštom za alarme.
5	Dodajte ili uklonite korisnike iz svoje probne verzije
6	Dovršite probnu fazu jednom od sljedećih radnji: Prijeđite s probnog na produkciju Završite probno razdoblje bez prelaska na produkciju

Aktivirajte probnu verziju

Prije početka

1	Prijavite se nahttps://admin.webex.com , a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Započni suđenje . Status usluge mijenja se u probni način.
4	Kliknite Dodajte korisnike i unesite adresa e-pošte jednog ili više korisnika za pilotiranje korištenjem vaših Hybrid Data Security čvorova za usluge šifriranja i indeksiranja. (Ako vaša organizacija koristi sinkronizaciju imenika, koristite Active Directory za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju implementaciju sigurnosti hibridnih podataka

Koristite ovaj postupak za testiranje scenarija šifriranja Hybrid Data Security.

Prije početka

Postavite svoju implementaciju Hybrid Data Security.
Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.
Osigurajte da imate pristup syslogu kako biste provjerili prosljeđuju li ključni zahtjevi vašoj Hybrid Data Security implementaciji.

Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan nakon zamjene klijentskih predmemorija ključeva za šifriranje.

Šaljite poruke u novi prostor.

Provjerite izlaz syslog kako biste potvrdili da se zahtjevi za ključeve prosljeđuju vašoj Hybrid Data Security implementaciji.

Da biste provjerili da li korisnik prvo uspostavlja siguran kanal za KMS, uključite filtriranje kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili postoji li korisnik koji traži postojeći ključ od KMS-a, uključite filter kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog KMS ključa, uključite filtriranje kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Pratite zdravlje hibridne sigurnosti podataka

1	u Kontrolno čvorište , odaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Hybrid Services pronađite Hybrid Data Security i kliknite Postavke . Pojavljuje se stranica Postavke sigurnosti hibridnih podataka.
3	U odjeljku Obavijesti e-pošta -poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Uđi .

Dodajte ili uklonite korisnike iz svoje probne verzije

Nakon što ste aktivirali probnu verziju i dodali početni skup korisnika probnog razdoblja, možete dodati ili ukloniti članove probe u bilo kojem trenutku dok je probno razdoblje aktivno.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Probni način rada u području Status usluge kliknite Dodajte korisnike , ili kliknite pregledati i urediti za uklanjanje korisnika iz probe.
4	Unesite adresa e-pošte jednog ili više korisnika za dodavanje ili kliknite na X pomoću ID korisnika-a za uklanjanje korisnika iz probe. Zatim kliknite Spremi .

Prijeđite s probnog na produkciju

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Status usluge kliknite Prijeđite u produkciju .
4	Potvrdite da sve svoje korisnike želite premjestiti u produkciju.

Završite probno razdoblje bez prelaska na produkciju

Ako tijekom probnog razdoblja odlučite ne nastaviti s implementacijom Hybrid Data Security, možete deaktivirati Hybrid Data Security, čime se završava probna verzija i premještaju probni korisnici natrag na usluge sigurnosti podataka u oblaku. Korisnici probne verzije izgubit će pristup podacima koji su bili šifrirani tijekom probe.

1	Prijavite se u Control Hub, a zatim odaberite Usluge .
2	Pod Hybrid Data Security kliknite Postavke .
3	U odjeljku Deaktiviraj kliknite Deaktiviraj .
4	Potvrdite da želite deaktivirati uslugu i završiti probno razdoblje.

Upravljajte svojom HDS implementacijom

Upravljajte HDS implementacijom

Upotrijebite ovdje opisane zadatke za upravljanje implementacijom Hybrid Data Security.

Postavite raspored nadogradnje klastera

Za postavljanje rasporeda nadogradnje:

1	Prijavite se na Control Hub.
2	Na stranici Pregled u odjeljku Hibridne usluge odaberite Hibridna sigurnost podataka .
3	Na stranici Resursi za sigurnost hibridnih podataka odaberite klaster.
4	Na ploči Pregled s desne strane, u odjeljku Postavke klastera, odaberite naziv klastera.
5	Na stranici Postavke, u odjeljku Nadogradnja, odaberite vrijeme i vremenska zona za raspored nadogradnje. Napomena: Ispod vremenska zona prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Ako je potrebno, nadogradnju možete odgoditi za sljedeći dan klikom Odgoditi .

Promijenite konfiguraciju čvora

Povremeno ćete možda morati promijeniti konfiguraciju čvora Hybrid Data Security iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN naziv domene certifikata. Domena mora odgovarati izvornoj domeni korištenoj za registraciju klastera.

Ažuriranje postavki baze podataka za promjenu u repliku baze podataka PostgreSQL ili Microsoft SQL Server.

Ne podržavamo migraciju podataka s PostgreSQL na Microsoft SQL Server ili obrnuto. Za promjenu okruženja baze podataka pokrenite novu implementaciju Hybrid Data Security.

Izrada nove konfiguracije za pripremu novog podatkovni centar.

Soft reset — Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset —Stare lozinke odmah prestaju raditi.

Ako vaše lozinke istječu bez resetiranja, to utječe na vašu HDS uslugu, zahtijevajući trenutno hard reset i zamjenu ISO datoteke na svim čvorovima.

Koristite ovaj postupak za generiranje nove konfiguracijske ISO datoteke i primjenu na svoj klaster.

Prije početka

Opis	Varijabla
HTTP proxy bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija ISO datoteke trenutne konfiguracije. ISO sadrži glavni ključ za šifriranje PostgreSQL ili Microsoft SQL Server baze podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

Koristeći Docker na lokalnom računalu, pokrenite alat za postavljanje HDS-a.

U naredbeni redak vašeg stroja unesite odgovarajuću naredbu za vaše okruženje:
U uobičajenim okruženjima:
```
docker rmi ciscocitg/hds-setup:stable
```
U FedRAMP okruženjima:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ovaj korak čisti prethodne slike alata za postavljanje HDS-a. Ako nema prethodnih slika, vraća se pogreška koju možete zanemariti.
Da biste se prijaviti se registar Docker slika, unesite sljedeće:
```
docker login -u hdscustomersro
```
Na upit za lozinku unesite ovaj hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U uobičajenim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Provjerite jeste li povukli najnoviji alat za postavljanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za poništavanje lozinke.

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada je spremnik pokrenut, vidite "Ekspresno slušanje poslužitelja na portu 8080."

Koristite preglednik za povezivanje s lokalnim hostom, http://127.0.0.1:8080.

Alat za postavljanje ne podržava povezivanje s localhost putem http://localhost:8080 . Koristitehttp://127.0.0.1:8080 za povezivanje s lokalnim hostom.

Kada se to od vas zatraži, unesite svoje vjerodajnice za prijavu korisnika Control Hub-a, a zatim kliknite Prihvati nastaviti.
Uvezite ISO datoteku trenutne konfiguracije.
Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku.

Da biste isključili alat za postavljanje, upišite CTRL+C.
Napravite sigurnosnu kopiju ažurirane datoteke u drugom podatkovni centar.

Instalirajte HDS host OVA.
Postavite HDS VM.
Montirajte ažuriranu konfiguracijska datoteka.
Registrirajte novi čvor u Control Hubu.

Isključite virtualno računalo.
U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke .
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje iz ISO datoteke i pronađite mjesto gdje ste preuzeli novu konfiguracijsku ISO datoteku.
Provjerite Spojite se pri uključenju .
Spremite promjene i uključite virtualno računalo.

Ponovite korak 3 da zamijenite konfiguraciju na svakom preostalom čvoru koji izvodi staru konfiguraciju.

Isključite način razlučivanja blokiranog vanjskog DNS -a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira DNS traženje i povezanost s oblakom Cisco Webex . Ako poslužitelj za DNS čvora ne može razriješiti javna DNS imena, čvor automatski prelazi u način Blocked External DNS Resolution.

Ako vaši čvorovi mogu razriješiti javna DNS imena putem internih DNS poslužitelja, možete isključiti ovaj način ponovnim pokretanjem testa proxy veze na svakom čvoru.

Prije početka

Osigurajte da vaši interni DNS poslužitelji mogu razriješiti javna DNS imena i da vaši čvorovi mogu komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hybrid Data Security (IP adresa/postavka, na primjer,https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postaviti za čvor, a zatim kliknite Prijavite se .
2	Idi na Pregled (zadana stranica). Kada je omogućeno, Blokirana razlučivost vanjskog DNS -a je postavljeno na da .
3	Idite na Trust Store & Proxy stranica.
4	Kliknite Provjerite proxy vezu . Ako vidite poruku da vanjsko DNS razlučivanje nije bilo uspješno, čvor nije mogao doći do poslužitelj za DNS i ostat će u ovom načinu rada. U suprotnom, nakon što ponovno pokrenete čvor i vratite se na Pregled stranicu, razlučivost blokiranog vanjskog DNS -a treba postaviti na br.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru Hybrid Data Security.

Uklonite čvor

Upotrijebite VMware vSphere klijent na svom računalu da se prijavite na ESXi virtualni host i isključite virtualno računalo.

Uklonite čvor:

Prijavite se u Control Hub, a zatim odaberite Usluge .
Na kartici Hybrid Data Security kliknite Prikaži sve za prikaz stranice Resursi za sigurnost hibridnih podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite Otvorite popis čvorova .
Na kartici Čvorovi odaberite čvor koji želite ukloniti.
Kliknite Radnje > Odjavite čvor .

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu, desni klik VM i kliknite Izbriši .)

Ako ne izbrišete VM, ne zaboravite demontirati konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe pomoću podatkovnog centra u stanju čekanja

Najkritičnija usluga koju pruža vaš hibridni klaster sigurnosti podataka je izrada i pohrana ključeva koji se koriste za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Security, zahtjevi za kreiranje novih ključeva usmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je kreirao svim korisnicima koji su ovlašteni da ih dohvate, na primjer, članovima prostora za razgovor.

Ako katastrofa prouzrokuje da HDS implementacija u primarnom podatkovni centar postane nedostupna, slijedite ovaj postupak za ručni prijelaz na pričuvni podatkovni centar.

Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izradite konfiguracijski ISO za HDS hostove .

Nakon konfiguriranja Syslogd poslužitelja, kliknite na Napredne postavke

Na Napredne postavke stranicu, dodajte konfiguraciju u nastavku ili uklonite passiveMode konfiguraciju kako bi čvor bio aktivan. Čvor može upravljati prometom nakon što je to konfigurirano.


passiveMode: 'false'

Dovršite proces konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.

U lijevom navigacijskom oknu klijenta VMware vSphere, desni klik VM i kliknite Uredite postavke. .

Kliknite Uredi postavke > CD/ DVD pogon 1 i odaberite Datastore ISO File.

Uvjerite se Povezano i Spojite se pri uključenju su provjerene tako da ažurirane promjene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.

Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.

Ponovite postupak za svaki čvor u podatkovni centar u stanju pripravnosti.

Što učiniti sljedeće

(Izborno) Isključite ISO nakon HDS konfiguracije

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter poslužiteljskom uređaju odaberite HDS čvor.
3	Odaberite Uredite postavke > CD/ DVD pogon i poništite odabir ISO datoteka skladišta podataka .
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema sa sigurnošću hibridnih podataka

Pregledajte upozorenja i rješavanje problema

Ne mogu se stvoriti novi prostori (nije moguće stvoriti nove ključeve)
Poruke i naslovi prostora ne mogu se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno raditi sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno nadzirete svoj hibridni klaster sigurnosti podataka i odmah se obratite svim upozorenjima kako biste izbjegli prekid usluge.

Upozorenja

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Neuspjeh pristupa lokalnoj bazi podataka.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
neuspjelo povezivanje s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i da su ispravne vjerodajnice račun usluge korištene u konfiguraciji čvora.
Neuspjeh pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsko povezivanje .
Obnavljanje registracije usluge u oblaku.	Odustala je registracija na usluge u oblaku. Obnova registracije je u tijeku.
Registracija usluge u oblaku je pala.	Registracija na usluge u oblaku je prekinuta. Usluga se gasi.
Usluga još nije aktivirana.	Aktivirajte probnu verziju ili dovršite premještanje probe u produkciju.
Konfigurirana domena ne odgovara certifikat poslužitelja.	Provjerite odgovara li certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti na uslugama u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica račun usluge .
Otvaranje datoteke lokalnog spremišta ključeva nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalnog spremišta ključeva.
certifikat poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdalo pouzdano tijelo za izdavač certifikata.
Nije moguće objaviti mjerne podatke.	Provjerite pristup lokalnoj mreži vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju ISO montiranja na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i da li se uspješno montira.

Rješavanje problema sa sigurnošću hibridnih podataka

Pri rješavanju problema s Hybrid Data Security koristite sljedeće opće smjernice.

1	Pregledajte Control Hub za sva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije Hybrid Data Security.
3	Kontaktirajte Ciscova podrška .

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite svoj hibridni klaster sigurnosti podataka (brisanjem u Control Hubu ili isključivanjem svih čvorova), izgubite svoju konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka pohrane ključeva, korisnici vaše Webex aplikacije više ne mogu koristiti prostore pod svojim osobama popis stvorenih ključevima iz vašeg KMS-a. To se odnosi i na probnu i na proizvodnu implementaciju. Trenutačno nemamo rješenje ili rješenje za ovaj problem i pozivamo vas da ne gasite svoje HDS usluge nakon što obrađuju aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu neko vrijeme (vjerojatno jedan sat). Kada korisnik postane član probnog razdoblja Hybrid Data Security, korisnikov klijent nastavlja koristiti postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti se i ponovno prijaviti u aplikaciju Webex App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifriranje.

Isto se ponašanje događa kada premjestite probnu verziju u produkciju za organizaciju. Svi neprobni korisnici s postojećim ECDH vezama s prethodnim uslugama sigurnosti podataka nastavit će koristiti te usluge sve dok se ECDH veza ponovno ne pregovara (putem vremenskog ograničenja ili odjavom i ponovnom prijavom).

Koristite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu datoteke PKCS12 u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako se odlučite koristiti OpenSSL, pružamo ovaj postupak kao smjernicu kako bismo vam pomogli stvoriti datoteku koja ispunjava zahtjeve certifikata X.509 u X.509 Zahtjevi certifikata . Shvatite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. vidihttps://www.openssl.org za softver i dokumentaciju.
Napravite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od vašeg izdavatelja izdavač certifikata (CA).

1	Kada od CA primite certifikat poslužitelja , spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta za stvaranje datoteke paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate, u formatu u nastavku: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Napravite .p12 datoteku s prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikat poslužitelja . `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude naveden u izlazu. Zatim provjerite da privatni ključ i prvi certifikat uključuju retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunite preduvjete za sigurnost hibridnih podataka . Koristit ćete se hdsnode.p12 datoteku i lozinku koju ste za nju postavili u Izradite konfiguracijski ISO za HDS hostove .

Te datoteke možete ponovno upotrijebiti da biste zatražili novi certifikat kada izvorni certifikat istekne.

Promet između HDS čvorova i oblaka

Odlazni promet prikupljanja mjernih podataka

Ulazni promet

Čvorovi Hybrid Data Security primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxy za hibridnu sigurnost podataka

Websocket se ne može povezati putem Squid proxyja

Lignje 4 i 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka uz dodana sljedeća pravila squid.conf. Ova pravila podložna su promjeni kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Novi i promijenjeni podaci

Datum	Izvršene promjene
20. listopada 2023.	Ažurirane informacije u Preduvjeti poslužitelja baze podataka. Dodan je Centar za podatke u pripravnosti za oporavak od katastrofa. Ažurirane informacije u Centru za podatke o pripravnosti za oporavak od katastrofa i Centru za oporavak od katastrofa pomoću Centra za podatke o pripravnosti.
07. kolovoza 2023.	Dodana je napomena u Preuzimanje instalacijskih datoteka. Dodana je napomena u Stvaranje ISO konfiguracije za HDS organizatore i Promjena konfiguracije čvora.
23. svibnja 2023.	Izbrisane informacije iz zahtjeva poslužitelja baze podataka koje zahtijevaju da se značajka omogući kontaktiranjem tima računa. Ažurirane informacije u Zahtjevi za vanjsku povezivost i dodane Kanadu u tablicu CI organizatora. Dodana je napomena u Očekivanja za implementaciju hibridne zaštite podataka u pogledu nedostupnosti mehanizama za premještanje ključeva natrag u oblak.
06. prosinca 2022.	Slike alata za postavljanje HDS-a sada se hostiraju u repozitoriju `ciscocitg` dockerhub. Ažurirane značajke Stvaranje ISO konfiguracije za HDS organizatore i Promjena tema konfiguracije čvora kako biste poništili promjene u naredbama.
23. studenog 2022.	HDS čvorovi sada mogu upotrebljavati Windows provjeru autentičnosti za Microsoft SQL Server. Ažurirana je tema Zahtjevi poslužitelja baze podataka s dodatnim zahtjevima za ovaj način rada provjere autentičnosti. Ažurirano je Izradite ISO konfiguraciju za HDS organizatore s postupkom konfiguriranja Windows provjere autentičnosti na čvorovima. Ažurirana je tema Preduvjeti poslužitelja baze podataka novim minimalnim verzijama (PostgreSQL 10).
13. listopada 2021.	Prije nego što instalirate HDS čvorove, Docker Desktop mora pokrenuti program za postavljanje. Pogledajte odjeljak Preduvjeti za radnu površinu za prikvačivanje.
24. lipnja 2021.	Napomenuto je da datoteku privatnog ključa i CSR možete ponovno upotrijebiti za traženje drugog certifikata. Pogledajte odjeljak Upotrijebite OpenSSL za generiranje PKCS12 datoteke koji sadrži detalje.
30. travnja 2021.	Promijenjen je zahtjev za VM za lokalni prostor na tvrdom disku na 30 GB. Pogledajte odjeljak Zahtjevi za virtualno glavno računalo za detalje.
24. veljače 2021.	Alat za postavljanje HDS-a sada se može pokrenuti iza proxyja. Pogledajte odjeljak Stvaranje ISO konfiguracije za HDS organizatore koji sadrži detalje.
02.02.2021.	HDS sada može raditi bez ugrađene ISO datoteke. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .
11. siječnja 2021.	Dodane informacije o alatu za postavljanje HDS-a i proxyjima za Stvaranje ISO konfiguracije za HDS organizatore.
13. listopada 2020.	Ažurirane su instalacijske datoteke preuzimanja.
8. listopada 2020.	Ažurirane značajke Stvaranje ISO konfiguracije za HDS organizatore i Promjena konfiguracije čvora naredbama za FedRAMP okruženja.
14. kolovoza 2020.	Ažurirane značajke Stvaranje ISO konfiguracije za HDS organizatore i Promjena konfiguracije čvora s promjenama u procesu prijave.
05. kolovoza 2020.	Ažurirano je Testirajte implementaciju hibridne zaštite podataka za promjene u porukama zapisnika. Ažurirani su preduvjeti virtualnog organizatora za uklanjanje maksimalnog broja organizatora.
16. lipnja 2020.	Ažurirano je Uklanjanje čvora za promjene u korisničkom sučelju Control Hub.
04. lipnja 2020.	Ažurirana opcija Izradite ISO konfiguraciju za HDS organizatore za promjene u naprednim postavkama koje možete postaviti.
29. svibnja 2020.	Ažurirano je Izradite ISO konfiguraciju za HDS organizatore kako bi se prikazalo da možete upotrebljavati i TLS s bazama podataka SQL Server, promjenama korisničkog sučelja i drugim objašnjenjima.
05. svibnja 2020.	Ažurirani su zahtjevi za virtualno glavno računalo kako bi se prikazao novi zahtjev za ESXi 6.5.
21. travnja 2020.	Zahtjevi za vanjsku povezivost ažurirani su s novim Americas CI organizatorima.
1. travnja 2020.	Zahtjevi za vanjsku povezivost ažurirani su s informacijama o regionalnim CI organizatorima.
20. veljače 2020.	Ažurirano je Izradite ISO konfiguraciju za HDS organizatore s informacijama o novom neobaveznom zaslonu Napredne postavke u alatu za postavljanje HDS-a.
4. veljače 2020.	Ažurirani su preduvjeti za proxy poslužitelj.
16. prosinca 2019.	Pojasnio je zahtjev za blokirani način vanjskog DNS razlučivosti za rad u Zahtjevima za proxy poslužitelj.
19. studenog 2019.	Dodane informacije o načinu blokiranja vanjskog DNS razlučivosti u sljedećim odjeljcima: Proxy podrška Konfiguriranje HDS čvora za integraciju proxy poslužitelja Isključivanje blokiranog načina vanjske razlučivosti DNS-a
8. studenog 2019.	Sada možete konfigurirati mrežne postavke za čvor dok implementirate OVA, a ne kasnije. U skladu s tim ažurirani su sljedeći odjeljci: Tijek zadatka implementacije hibridne zaštite podataka Instalirajte OVA organizatora za HDS Postavljanje VM hibridne zaštite podataka Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.
6. rujna 2019.	Dodan je standard SQL poslužitelja u Preduvjeti poslužitelja baze podataka.
29. kolovoza 2019.	Dodan je dodatak Konfiguriranje proxy poslužitelja za hibridnu zaštitu podataka s uputama o konfiguriranju proxy poslužitelja za lignje kako biste zanemarili promet web-socket protokola za ispravan rad.
20. kolovoza 2019.	Dodani i ažurirani odjeljci koji pokrivaju podršku proxyja za komunikaciju čvora hibridne zaštite podataka u oblaku Webex. Proxy podrška Preduvjeti proxy poslužitelja Konfiguriranje HDS čvora za integraciju proxy poslužitelja Kako biste pristupili samo sadržaju podrške za proxy za postojeću implementaciju, pogledajte članak pomoći Proxy podrška za hibridnu zaštitu podataka i Webex Video Mesh .
13. lipnja 2019.	Ažurirana je probna verzija u tijek zadataka produkcije s podsjetnikom za sinkronizaciju objekta skupine `HdsTrialGroup` prije pokretanja probne verzije ako vaša organizacija upotrebljava sinkronizaciju direktorija.
06. ožujka 2019.	Premješteni zahtjevi i preduvjeti u odvojeno poglavlje Priprema okruženja. Dodan je pregled tijeka implementacije zadatka hibridne zaštite podataka u poglavlju Postavljanje klastera hibridne zaštite podataka. Napomenuto je da dok ne pokrenete probnu verziju (pomoću uputa u sljedećem poglavlju), vaši čvorovi generiraju alarm koji ukazuje da vaša usluga još nije aktivirana. Dodano je Probno razdoblje u tijek zadatka produkcije u poglavlju Pokreni probnu verziju i premjesti se u produkciju.
28. veljače 2019.	Korigirana je količina lokalnog prostora na tvrdom disku po poslužitelju koju biste trebali postaviti po strani prilikom pripreme virtualnih organizatora koji postaju čvorovi hibridne zaštite podataka, od 50 GB do 20 GB, kako bi odražavali veličinu diska koji stvara OVA.
26. veljače 2019.	Čvorovi za Hybrid Data Security sada podržavaju šifrirane veze s PostgreSQL poslužiteljima baze podataka i šifrirane veze za zapisivanje na poslužitelj syslog koji podržava TLS. Ažurirana opcija Izradite ISO konfiguraciju za HDS organizatore s uputama. Uklonjeni su URL-ovi odredišta iz tablice „Zahtjevi internetske povezivosti za VM-ove čvora hibridne zaštite podataka”. Tablica se sada odnosi na popis koji se održava u tablici „Dodatni URL-ovi za hibridne usluge za Webex Teams” Mrežni zahtjevi za usluge Webex Teams.
24. siječnja 2019.	Hybrid Data Security sada podržava Microsoft SQL Server kao bazu podataka. Uvijek uključeni SQL poslužitelj (uvijek uključeni klasteri za prebacivanje u slučaju pogreške i uvijek uključene skupine dostupnosti) podržavaju upravljački programi JDBC-a koji se koriste u hibridnoj zaštiti podataka. Dodan sadržaj povezan s implementacijom s SQL poslužiteljem. Podrška za Microsoftov SQL poslužitelj namijenjena je samo novim implementacijama usluge Hybrid Data Security. Trenutačno ne podržavamo premještanje podataka s PostgreSQL na Microsoftov SQL poslužitelj u postojećoj implementaciji.
5. studenog 2018.	Dodan je preliminarni korak za čišćenje svih postojećih HDS instanci u izborniku Izrada ISO konfiguracije za HDS organizatore i Promjena konfiguracije čvora. Ažuriran je korak razine pristupa ključu u Izradi ISO konfiguraciju za HDS organizatore kako bi odgovarao sučelju.
19. listopada 2018.	Podijelite informacije o vezi vatrozida na zahtjeve čvora i zahtjeve ISO konfiguracijskog stroja u izborniku Dovrši preduvjete za hibridnu zaštitu podataka.
31. srpnja 2018.	Dodan je ulaz 22 (SSH pristup) i informacije o NAT-u i vezama vatrozida za dovršetak preduvjeta za hibridnu zaštitu podataka.
21. svibnja 2018.	Promijenjena terminologija koja odražava rebranding Cisco Sparka: Cisco Spark hibridna zaštita podataka sada je hibridna zaštita podataka. Aplikacija Cisco Spark sada je aplikacija Webex. Cisco Collaboraton Cloud sada je Webex oblak.
11. travnja 2018.	Dodan je Podatkovni centar u pripravnosti za oporavak od katastrofa. Ažurirano je Ispunite preduvjete za hibridnu zaštitu podataka kako biste odredili da bi okruženje za sigurnosne kopije trebalo biti u drugom podatkovnom centru. Ažuriran je Oporavak od katastrofa pomoću podatkovnog centra za pripravnost.
22. veljače 2018.	Dodane informacije o lozinci računa za uslugu tijekom 9 mjeseci i upotrebi alata za postavljanje HDS-a za ponovno postavljanje lozinki računa usluge, u izborniku Izrada ISO konfiguracije za HDS organizatore i Promjena konfiguracije čvora.
15. veljače 2018.	U tablici Zahtjevi certifikata X.509 naznačili su da certifikat ne može biti zamjenski certifikat i da KMS upotrebljava domenu CN, a ne bilo koju domenu koja je definirana u poljima SAN x.509v3.
18. siječnja 2018.	Dodan dodatak Promet između HDS čvorova i oblaka. Uklonjen je riješen problem iz Poznati problemi za hibridnu zaštitu podataka. Promijenjen je index.docker.io u .docker.io i dodan .cloudfront.net na popis zahtjeva za TCP povezivost za HDS čvorove u odjeljku Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Ažurirano je Izradite ISO konfiguraciju za HDS organizatore kako biste naznačili da ako glavno računalo baze podataka i poslužitelj Syslogd ne mogu se riješiti DNS-om iz HDS čvorova, morate ih konfigurirati pomoću IP adresa.
2. studenog 2017.	Pojašnjena sinkronizacija direktorija HdsTrialGroup. Fiksne upute za prijenos ISO konfiguracijske datoteke za montažu na VM čvorove.
18. kolovoza 2017.	Prvo objavljeno

Početak rada uz hibridnu zaštitu podataka

Pregled sigurnosti hibridnih podataka

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

***Područja odvajanja (bez hibridne zaštite podataka)***

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju x.509 certifikata za upotrebu s implementacijom hibridne zaštite podataka pogledajte Priprema okruženja .

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost korisnika i svijest o rizicima koji dolaze s vlasničkim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u .

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, testiranje implementacije s podskupom korisnika u načinu probe i, po dovršetku testiranja, prelazak na proizvodnju. Time se konvertira čitava organizacija na upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.
Faze postavljanja, probnog rada i produkcije detaljno su obrađene u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Control Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Control Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podržavamo samo jedan klaster po organizaciji.

Način probe hibridne zaštite podataka

Nakon što postavite implementaciju hibridne zaštite podataka, prvo je isprobajte sa skupom pilot korisnika. Tijekom razdoblja probe ti korisnici upotrebljavaju vašu lokalnu domenu hibridne zaštite podataka za ključeve za šifriranje i druge usluge sigurnosti. Vaši drugi korisnici i dalje upotrebljavaju područje sigurnosti u oblaku.

Ako odlučite ne nastaviti s implementacijom tijekom probe i deaktivirati uslugu, korisnici pilot-programa i svi korisnici s kojima su bili u interakciji stvaranjem novih prostora tijekom razdoblja probe izgubit će pristup porukama i sadržaju. Vidjet će „Ova se poruka ne može dešifrirati“ u aplikaciji Webex.

Ako smatrate da vaša implementacija dobro funkcionira za probne korisnike i da ste spremni proširiti hibridnu zaštitu podataka na sve svoje korisnike, premještate implementaciju u proizvodnju. Korisnici pilot-programa i dalje imaju pristup ključevima koji su se upotrebljavali tijekom probe. Međutim, ne možete se kretati unatrag između načina rada produkcije i izvornog probnog razdoblja. Ako morate deaktivirati uslugu, kao što je izvršavanje oporavka od katastrofe, kada reaktivirate morate pokrenuti novo probno razdoblje i postaviti pilot korisnika za novo probno razdoblje prije povratka u način rada produkcije. Hoće li korisnici zadržati pristup podacima u ovom trenutku ovisi o tome jeste li uspješno zadržali sigurnosne kopije ključne pohrane podataka i ISO konfiguracijske datoteke za čvorove hibridne zaštite podataka u svom klasteru.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Prije prebacivanja u slučaju pogreške, podatkovni centar A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL Server, dok B ima kopiju ISO datoteke s dodatnim konfiguracijama, VM-ovima koji su registrirani u organizaciju i bazu podataka pripravnosti. Nakon prebacivanja u slučaju pogreške, podatkovni centar B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrirane VM-ove i kopiju ISO datoteke, a baza je u stanju pripravnosti. — ***Ručno prebacivanje u podatkovni centar u pripravnosti***

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške. ISO datoteka podatkovnog centra pripravnosti ažurira se dodatnim konfiguracijama koje osiguravaju da su čvorovi registrirani u organizaciji, ali da neće rukovati prometom. Stoga čvorovi podatkovnog centra u pripravnosti uvijek ostaju ažurni s najnovijom verzijom HDS softvera.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Postavljanje podatkovnog centra u pripravnosti za oporavak od katastrofa

Slijedite korake u nastavku kako biste konfigurirali ISO datoteku podatkovnog centra pripravnosti:

Prije početka

Podatkovni centar u pripravnosti trebao bi odražavati produkcijsko okruženje VM-a i rezervnu bazu podataka PostgreSQL ili Microsoft SQL Server. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a. (Za pregled tog modela prebacivanja u slučaju pogreške pogledajte Podatkovni centar u pripravnosti za oporavak od katastrofa .)
Provjerite je li omogućena sinkronizacija baze podataka između baze podataka aktivnih i pasivnih čvorova klastera.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore. ISO datoteka mora biti kopija izvorne ISO datoteke primarnog podatkovnog centra na koju se moraju izvršiti sljedeća ažuriranja konfiguracije.
2	Nakon konfiguriranja Syslogd poslužitelja kliknite Napredne postavke
3	Na stranici Napredne postavke dodajte konfiguraciju u nastavku kako biste čvor postavili u pasivni način rada. U ovom načinu rada čvor će biti registriran u organizaciji i povezan s oblakom, ali neće upravljati prometom. `passiveMode: „točno”`
4	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
5	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
6	U lijevom navigacijskom oknu klijenta VMware vSphere desnom tipkom miša kliknite na VM i kliknite na Uredi postavke..
7	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
8	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
9	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti. Provjerite syslogs kako biste provjerili jesu li čvorovi u pasivnom načinu rada. Trebali biste moći vidjeti poruku "KMS konfiguriran u pasivnom načinu rada" u syslogu.

Što učiniti sljedeće

Podrška za proxy poslužitelje

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Pripremite svoje okruženje

Zahtjevi za sigurnost hibridnih podataka

Preduvjeti za licencu Cisco Webex

Da biste implementirali hibridnu zaštitu podataka:

Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene. Odaberite domenu koja se može primijeniti na probnu i produkcijsku implementaciju.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 6.5 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i preuzmite vjerodajnice računa s pravima potpunog administratora organizacije. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Vašoj će organizaciji možda trebati licenca za Docker za radnu površinu. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.
11	Ako vaša organizacija upotrebljava sinkronizaciju direktorija, izradite skupinu u Active Directoryju pod nazivom `HdsTrialGroup` i dodajte korisnike pilot-programa. Skupina za probu može imati do 250 korisnika. Objekt `HdsTrialGroup` mora se sinkronizirati s oblakom prije pokretanja probnog razdoblja za svoju organizaciju. Da biste sinkronizirali objekt skupine, odaberite ga u izborniku Konfiguracija > Odabir objekta Directory Connector. (Za detaljne upute pogledajte Vodič za implementaciju za Cisco Directory Connector.) Tipke za dani prostor postavlja tvorac prostora. Prilikom odabira pilot korisnika imajte na umu da ako odlučite trajno deaktivirati implementaciju hibridne zaštite podataka, svi korisnici gube pristup sadržaju u prostorima koje su stvorili pilot korisnici. Gubitak se pojavljuje čim aplikacije korisnika osvježe svoje kopije sadržaja u predmemoriji.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka