Vodič za implementaciju hibridne sigurnosti podataka za više korisnika (HDS) (Beta)

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
13. prosinca 2024.	Prvo izdanje.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

***Područja odvajanja (bez hibridne zaštite podataka)***

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Prije prebacivanja u slučaju pogreške, podatkovni centar A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL Server, dok B ima kopiju ISO datoteke s dodatnim konfiguracijama, VM-ovima koji su registrirani u organizaciju i bazu podataka pripravnosti. Nakon prebacivanja u slučaju pogreške, podatkovni centar B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrirane VM-ove i kopiju ISO datoteke, a baza je u stanju pripravnosti. — ***Ručno prebacivanje u podatkovni centar u pripravnosti***

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 6.5 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL	Microsoft SQL poslužitelj
Postgres JDBC upravljački program 42.2.5	SQL Server JDBC upravljački program 4.6 Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL	Microsoft SQL poslužitelj
Postgres JDBC upravljački program 42.2.5	SQL Server JDBC upravljački program 4.6 Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
15. siječnja 2025.	Dodana su ograničenja hibridne zaštite podataka za više klijenata.
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Ograničenja sigurnosti hibridnih podataka za više klijenata

Partnerske organizacije ne smiju imati aktivnu postojeću HDS implementaciju u okruženju Control Hub.
Klijent ili korisničke organizacije kojima želi upravljati partner ne smiju imati postojeću HDS implementaciju u okruženju Control Hub.
Nakon što partner implementira HDS za više klijenata, svi korisnici korisničkih organizacija, kao i korisnici partnerske organizacije, počinju upotrebljavati HDS za više klijenata za svoje usluge šifriranja.

Organizacija partnera i korisničke organizacije kojima upravljaju bit će na istoj HDS implementaciji za više klijenata.

Partnerska organizacija više neće upotrebljavati KMS u oblaku nakon implementacije HDS-a za više klijenata.
Nema mehanizma za premještanje ključeva natrag u KMS u oblaku nakon HDS implementacije.
Trenutačno svaka HDS implementacija za više klijenata može imati samo jedan klaster s više čvorova ispod sebe.
Uloge administratora imaju određena ograničenja. Pojedinosti potražite u odjeljku u nastavku.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017 ili 2019 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
30. siječnja 2025.	Dodana verzija 2022 SQL poslužitelja na popis podržanih SQL poslužitelja u Preduvjeti poslužitelja baze podataka.
15. siječnja 2025.	Dodana su ograničenja hibridne zaštite podataka za više klijenata.
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Ograničenja sigurnosti hibridnih podataka za više klijenata

Partnerske organizacije ne smiju imati aktivnu postojeću HDS implementaciju u okruženju Control Hub.
Klijent ili korisničke organizacije kojima želi upravljati partner ne smiju imati postojeću HDS implementaciju u okruženju Control Hub.
Nakon što partner implementira HDS za više klijenata, svi korisnici korisničkih organizacija, kao i korisnici partnerske organizacije, počinju upotrebljavati HDS za više klijenata za svoje usluge šifriranja.

Organizacija partnera i korisničke organizacije kojima upravljaju bit će na istoj HDS implementaciji za više klijenata.

Partnerska organizacija više neće upotrebljavati KMS u oblaku nakon implementacije HDS-a za više klijenata.
Nema mehanizma za premještanje ključeva natrag u KMS u oblaku nakon HDS implementacije.
Trenutačno svaka HDS implementacija za više klijenata može imati samo jedan klaster s više čvorova ispod sebe.
Uloge administratora imaju određena ograničenja. Pojedinosti potražite u odjeljku u nastavku.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016., 2017., 2019. ili 2022. (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
30. siječnja 2025.	Dodana verzija 2022 SQL poslužitelja na popis podržanih SQL poslužitelja u Preduvjeti poslužitelja baze podataka.
15. siječnja 2025.	Dodana su ograničenja hibridne zaštite podataka za više klijenata.
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Ograničenja sigurnosti hibridnih podataka za više klijenata

Partnerske organizacije ne smiju imati aktivnu postojeću HDS implementaciju u okruženju Control Hub.
Klijent ili korisničke organizacije kojima želi upravljati partner ne smiju imati postojeću HDS implementaciju u okruženju Control Hub.
Nakon što partner implementira HDS za više klijenata, svi korisnici korisničkih organizacija, kao i korisnici partnerske organizacije, počinju upotrebljavati HDS za više klijenata za svoje usluge šifriranja.

Organizacija partnera i korisničke organizacije kojima upravljaju bit će na istoj HDS implementaciji za više klijenata.

Partnerska organizacija više neće upotrebljavati KMS u oblaku nakon implementacije HDS-a za više klijenata.
Nema mehanizma za premještanje ključeva natrag u KMS u oblaku nakon HDS implementacije.
Trenutačno svaka HDS implementacija za više klijenata može imati samo jedan klaster s više čvorova ispod sebe.
Uloge administratora imaju određena ograničenja. Pojedinosti potražite u odjeljku u nastavku.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da upotrijebite naziv koji odražava vašu organizaciju, npr. `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Koristite prilagođeni naziv `kms-privatnog ključa` kako biste označili certifikat, privatni ključ i sve međucertifikate za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016., 2017., 2019. ili 2022. (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

ciscocitg/hds-setup-fedramp: stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker povlačenje ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker povlačenje ciscocitg/hds-setup-fedramp: stabilan

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan

U uobičajenim okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan

U FedRAMP okruženjima s HTTP proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obrascu : ili :.

Primjer:
dbhost.primjer.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako koristite provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.primjer.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxVeličina: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `administrator` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD pogon 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju gdje ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	U web-preglednik unesite URL za postavljanje HDS čvora `https://[HDS Node IP ili FQDN]/setup,` unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavi siguran kanal prema KMS-u, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFORMACIJE KMS [pool-14-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFORMACIJE KMS [pool-14-thread-31] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFORMACIJE KMS [pool-14-thread-33] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE KLJUČA_KLJUČA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) nakon izrade prostora ili drugog zaštićenog resursa, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFORMACIJE KMS [pool-15-thread-1] - [KMS:ZAHTJEV] primljeno, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=PRIKUPLJANJE RESURSA_, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://POSLUŽITELJ_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBALNI_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `ciscocitg/hds-setup-fedramp: stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker povlačenje ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker povlačenje ciscocitg/hds-setup-fedramp: stabilan` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-postavljanje: stabilan` U uobičajenim okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp: stabilan` U FedRAMP okruženjima s HTTP proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `izlaz -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada je spremnik pokrenut, vidjet ćete "Ekspresno slušanje poslužitelja na priključku 8080". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD pogon 1`, odaberite mogućnost spremanja iz ISO datoteke i pronađite mjesto na koje ste preuzeli novu konfiguracijsku ISO datoteku. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -tekst -noout -u hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `----BEGIN CERTIFIKAT------ ### Certifikat poslužitelja. ### -----END CERTIFIKAT------------BEGIN CERTIFIKAT------ ### Srednji CA certifikat. ### -----END CERTIFIKAT-------------BEGIN CERTIFIKAT----- ### Korijenski CA certifikat. ### -----END CERTIFIKAT------`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -izvoz -inkey hdsnode.key -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -u hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-privatni ključ`. Primjer: bash$ openssl pkcs12 -u hdsnode.p12 Unesite lozinku za uvoz: Mac je potvrdio OK Bag atributi prijateljski prilagođeniName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Unesite PEM lozinku: Provjera – unesite PEM lozinku: -----POČETAK ŠIFRIRANOG PRIVATNOG KLJUČA----- -----END ŠIFRIRANI PRIVATNI KLJUČ------- Torba Atributi friendlyName: ID lokalnog ključa za privatni ključ: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Pokušajmo šifrirati ovlaštenje X3,O=Pokušajmo šifrirati,C=US subject=/C=US/O=Pokušajmo šifrirati ovlaštenje X3 izdavač=/O=Digitalni potpis Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT----- -----END CERTIFIKAT----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Upotrijebit ćete datoteku hdsnode.p12 i lozinku koju ste za nju postavili u odjeljku Izrada ISO konfiguracije za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku o sinkroniziranim i asinkronim niti; metriku o upozorenjima koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku o datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavu websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl:server_name_regex živin-veza ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump korak1 sve ssl_bump gleda korak2 sve ssl_bump korak3 sve

Novi i promijenjeni podaci

Ova tablica obuhvaća nove značajke ili funkcije, promjene u postojećem sadržaju i veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne zaštite podataka za više klijenata.

Datum	Izvršene promjene
04. ožujka 2025.	Dodan je alat za pokretanje HDS postavljanja pomoću odjeljka Podman Desktop . Dodana je napomena u Preduvjeti za radnu površinu za docker koji korisnicima pruža alternativnu opciju otvorenog koda. Ažurirane značajke Izradite ISO konfiguraciju za HDS organizatore i Promijenite konfiguraciju čvora s uputama za upotrebu radne površine Podman za korisnike bez licence za radnu površinu Docker.
30. siječnja 2025.	Dodana verzija 2022 SQL poslužitelja na popis podržanih SQL poslužitelja u Preduvjeti poslužitelja baze podataka.
15. siječnja 2025.	Dodano je Ograničenja hibridne zaštite podataka za više klijenata.
08. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klikom na Postavljanje na HDS kartici u okruženju Partner Hub važan korak u postupku instalacije.
07. siječnja 2025.	Ažurirani zahtjevi virtualnog glavnog računala, tijek zadatka implementacije hibridne zaštite podataka i instalirajte HDS glavno računalo OVA za prikaz novih zahtjeva za ESXi 7.0.
13. prosinca 2024.	Prvo objavljeno.

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Slijedite ove korake kako biste u potpunosti deaktivirali HDS za više klijenata.

Prije početka

Ovaj bi zadatak trebao izvršiti samo potpuni partnerski administrator.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je navedeno u odjeljku Uklanjanje organizacija klijenta.
2	Povucite CMK-ove svih korisnika, kao što je navedeno u odjeljku Povucite CMK-ove klijenata uklonjene iz HDS-a..
3	Uklonite sve čvorove iz svih klastera, kao što je navedeno u odjeljku Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz okruženja Partner Hub pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite… na desnoj strani klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici pregleda hibridne zaštite podataka i kliknite Deaktiviraj HDS na kartici HDS status.

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Od prvog dana sigurnost podataka bila je glavni fokus u dizajniranju aplikacije Webex. Temelj ove sigurnosti sveobuhvatno je šifriranje sadržaja koje omogućuju klijenti aplikacije Webex u interakciji s uslugom za upravljanje ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama svi korisnici aplikacije Webex dobivaju sveobuhvatno šifriranje dinamičkim ključevima pohranjenim u KMS oblaku, u sigurnosnom području Cisco. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Hibridna zaštita podataka za više klijenata organizacijama omogućuje upotrebu HDS-a putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ovo postavljanje omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje i osigurava da su korisnički podaci korisničkih organizacija sigurni od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i po potrebi stvaraju HDS klastere. Svaka instanca može podržavati više korisničkih organizacija za razliku od uobičajene HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koje generiraju korisnici. Taj je pristup ograničen na organizacije korisnika i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Korisnički generirani sadržaj zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje korisnika s kojima već imaju uspostavljeni odnos.
mogućnost za lokalnu tehničku podršku, ako to pruža partner.
Podržava sadržaj sastanaka, poruka i poziva.

Cilj je ovog dokumenta pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u sustavu hibridne zaštite podataka za više klijenata.

Ograničenja sigurnosti hibridnih podataka za više klijenata

Partnerske organizacije ne smiju imati aktivnu postojeću HDS implementaciju u okruženju Control Hub.
Klijent ili korisničke organizacije kojima želi upravljati partner ne smiju imati postojeću HDS implementaciju u okruženju Control Hub.
Nakon što partner implementira HDS za više klijenata, svi korisnici korisničkih organizacija, kao i korisnici partnerske organizacije, počinju upotrebljavati HDS za više klijenata za svoje usluge šifriranja.

Organizacija partnera i korisničke organizacije kojima upravljaju bit će na istoj HDS implementaciji za više klijenata.

Partnerska organizacija više neće upotrebljavati KMS u oblaku nakon implementacije HDS-a za više klijenata.
Nema mehanizma za premještanje ključeva natrag u KMS u oblaku nakon HDS implementacije.
Trenutačno svaka HDS implementacija za više klijenata može imati samo jedan klaster s više čvorova ispod sebe.
Uloge administratora imaju određena ograničenja. Pojedinosti potražite u odjeljku u nastavku.

Uloge u hibridnoj zaštiti podataka s više klijenata

Potpuni partnerski administrator – može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Partnerski administrator – može upravljati postavkama za korisnike koje je administrator dodijelio ili koje su dodijeljene korisniku.
Potpuni administrator – administrator partnerske organizacije koja je ovlaštena za izvršavanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjela uloga.

Sveobuhvatno postavljanje HDS-a za više klijenata i upravljanje svim organizacijama korisnika – potrebna su prava potpunog partnerskog administratora i prava potpunog administratora.
Upravljanje dodijeljenim organizacijama klijenata – potrebna su prava partnerskog administratora i potpunog administratora.

Arhitektura sigurnosnog područja

Arhitektura Webex oblaka razdvaja različite vrste usluga u zasebna područja ili domene povjerenja, kako je prikazano u nastavku.

Da biste dodatno razumjeli Hybrid Data Security, prvo pogledajmo ovaj čisti slučaj u oblaku, u kojem Cisco pruža sve funkcije u svojim područjima u oblaku. Usluga identiteta, jedino mjesto na kojem korisnici mogu biti izravno povezani s njihovim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od područja sigurnosti u podatkovnom centru B. Oba su odvojena od područja u kojem se šifrirani sadržaj u konačnici pohranjuje, u podatkovnom centru C.

Na ovom dijagramu klijent je aplikacija Webex koja se izvodi na korisničkom prijenosnom računalu i provjerena je autentičnost za uslugu identiteta. Kada korisnik sastavi poruku za slanje u prostor, poduzimaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, A KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka je šifrirana prije nego napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrirane indekse pretraživanja koji će pomoći u budućim pretraživanjima sadržaja.
Šifrirana poruka šalje se službi za sukladnost radi provjere sukladnosti.
Šifrirana poruka pohranjena je u području pohrane.

Kada implementirate hibridnu zaštitu podataka, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u lokalni podatkovni centar. Druge usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovim područjima.

Suradnja s drugim organizacijama

Korisnici iz vaše organizacije mogu redovito upotrebljavati aplikaciju Webex za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH zaštićenog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev u Webex oblak putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A potvrđuje veze s KMS-ovima u drugim organizacijama pomoću PKI certifikata x.509. Detalje o generiranju certifikata x.509 za upotrebu s implementacijom hibridne zaštite podataka za više klijenata potražite u članku Priprema okruženja.

Očekivanja za implementaciju hibridne zaštite podataka

Implementacija hibridne zaštite podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s vlastitim ključevima za šifriranje.

Da biste implementirali hibridnu zaštitu podataka, morate navesti:

Sigurni podatkovni centar u državi koja je podržana lokacija za planove usluge Cisco Webex Teams.
Oprema, softver i pristup mreži opisani u poglavlju Priprema vašeg okruženja.

Potpuni gubitak ISO konfiguracije koji gradite za hibridnu zaštitu podataka ili baze podataka koju navedete rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i druge šifrirane podatke u aplikaciji Webex. Ako se to dogodi, moći ćete izraditi novu implementaciju, ali samo će novi sadržaj biti vidljiv. Da biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnim kopiranjem i oporavkom baze podataka i konfiguracijom ISO-a.
Budite spremni za izvođenje brzog oporavka katastrofe ako dođe do katastrofe, kao što je kvar baze podataka ili katastrofa podatkovnog centra.

Nema mehanizma za premještanje ključeva natrag u Oblak nakon HDS implementacije.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne zaštite podataka za više klijenata:

Postavljanje hibridne zaštite podataka– uključuje pripremu potrebne infrastrukture i instalaciju softvera hibridne zaštite podataka, izgradnju HDS klastera, dodavanje organizacija klijenata u klaster i upravljanje glavnim ključevima korisnika (CMK-ovi). Time ćete svim korisnicima vaših korisničkih organizacija omogućiti upotrebu vašeg klastera hibridne zaštite podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su opisane u sljedeća tri poglavlja.
Održavanje implementacije hibridne zaštite podataka– Webex oblak automatski pruža trenutne nadogradnje. Vaš IT odjel može pružiti podršku prvog stupnja za ovu implementaciju i angažirati podršku za Cisco po potrebi. U okruženju Partner Hub možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema– ako naiđete na probleme pri implementaciji ili upotrebi hibridne zaštite podataka, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Model implementacije hibridne zaštite podataka

Unutar podatkovnog centra poduzeća implementirate hibridnu zaštitu podataka kao jedan klaster čvorova na zasebnim virtualnim organizatorima. Čvorovi komuniciraju s Webex oblakom putem sigurnih web-utičnica i sigurnog HTTP-a.

Tijekom postupka instalacije pružamo vam OVA datoteku za postavljanje virtualnog uređaja na VM-ovima koje pružate. Pomoću alata za postavljanje HDS-a stvorite prilagođenu ISO datoteku za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne zaštite podataka koristi vašu pruženu bazu podataka Syslogd poslužitelja i PostgreSQL ili Microsoft SQL Server. (Konfigurirate Syslogd i pojedinosti o vezi baze podataka u alatu za postavljanje HDS-a.)

Model implementacije hibridne zaštite podataka

Najmanji broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tijekom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

Svi čvorovi u klasteru pristupaju istoj ključnoj datoteci podataka i aktivnosti zapisnika na isti syslog poslužitelj. Sami čvorovi su beskućnici i obrađuju ključne zahtjeve u okruglom robin načinu, prema uputama oblaka.

Čvorovi se aktiviraju kada ih registrirate u okruženju Partner Hub. Kako biste određeni čvor uklonili iz usluge, možete ga odjaviti i po potrebi ponovno registrirati.

Podatkovni centar u pripravnosti za oporavak od katastrofa

Tijekom implementacije postavite siguran podatkovni centar u pripravnosti. U slučaju katastrofe podatkovnog centra možete ručno neuspješno prebaciti implementaciju u podatkovni centar u pripravnosti.

Baze podataka aktivnih i podatkovnih centara u pripravnosti sinkronizirane su jedna s drugom, čime će se skratiti vrijeme potrebno za prebacivanje u slučaju pogreške.

Aktivni čvorovi hibridne zaštite podataka uvijek moraju biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Nema proxyja – zadano ako za integraciju proxyja ne koristite konfiguraciju spremišta vjerodajnica i proxy čvora HDS za postavljanje proxyja. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne nadzire– čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne nadzire. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja HDS čvorovima recite koji će proxy poslužitelj i shema provjere autentičnosti upotrebljavati. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju.
2. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini.
3. Proxy protokol – Ovisno o tome što vaš proxy poslužitelj podržava, odaberite između sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti:
  - Ništa – nije potrebna dodatna provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Za implementaciju hibridne zaštite podataka za više klijenata:

Partnerske organizacije: Obratite se partneru za Cisco ili upravitelju računa i provjerite je li značajka za više klijenata omogućena.
Organizacije klijenata: Morate imati Pro Pack za Cisco Webex Control Hub. (Pogledajte https://www.cisco.com/go/pro-pack.)

Preduvjeti za radnu površinu

Prije nego što instalirate HDS čvorove, trebat će vam Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Korisnici bez licence za radnu površinu Docker mogu koristiti alat za upravljanje spremnicima otvorenog koda kao što je Podman Desktop za pokretanje, upravljanje i izradu spremnika. Za više pojedinosti pogledajte Pokreni alat za postavljanje HDS-a pomoću radne površine Podman .

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi certifikata X.509 za implementaciju hibridne zaštite podataka
Uvjet	Pojedinosti
Potpis pouzdane ustanove za izdavanje certifikata (CA)	Prema zadanim postavkama vjerujemo CA-ovima na popisu Mozilla (uz iznimku WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene zajedničkog naziva (CN) koji identificira vašu implementaciju hibridne zaštite podataka Nije zamjenski certifikat	CN ne mora biti dostupan ili domaćin uživo. Preporučujemo da, na primjer, upotrijebite naziv koji odražava vašu organizaciju `hds.company.com`. CN ne smije sadržavati znak * (zamjenski znak). CN se upotrebljava za potvrdu čvorova hibridne zaštite podataka klijentima aplikacije Webex. Svi čvorovi hibridne zaštite podataka u vašem klasteru upotrebljavaju isti certifikat. Vaš KMS se identificira pomoću domene CN, a ne bilo koje domene definirane u poljima SAN x.509v3. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	Softver KMS-a ne podržava SHA1 potpis za provjeru veza s KMS-ovima drugih organizacija.
Oblikovana kao datoteka PKCS br. 12 zaštićena lozinkom Upotrijebite prijateljsko ime za `kms-private-key` označavanje certifikata, privatnog ključa i svih međucertifikata za prijenos.	Za promjenu formata certifikata možete upotrijebiti pretvarač kao što je OpenSSL. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

Softver KMS-a ne nameće ograničenja za upotrebu ključeva ili proširena ograničenja za upotrebu ključeva. Neka tijela za izdavanje certifikata zahtijevaju primjenu proširenih ograničenja upotrebe ključa na svaki certifikat, poput provjere autentičnosti poslužitelja. U redu je upotrebljavati provjeru autentičnosti poslužitelja ili druge postavke.

Zahtjevi virtualnog organizatora

Virtualni organizatori koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena glavna računala (preporučeno 3) smještena u isti siguran podatkovni centar
Instaliran i pokrenut je VMware ESXi 7.0 (ili noviji).

Morate nadograditi ako imate raniju verziju alata ESXi.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Preduvjeti poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.

Postoje dvije mogućnosti za poslužitelj baze podataka. Zahtjevi za svaku od njih su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL poslužitelj
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016., 2017., 2019. ili 2022. (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i Kumulativno ažuriranje 2 ili novije verzije.
Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)	Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako ne bi došlo do prekoračenja (preporučuje se 2 TB ako želite dugo raditi bazu podataka bez potrebe za povećanjem pohrane)

Softver HDS trenutačno instalira sljedeće verzije upravljačkog programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL poslužitelj

Postgres JDBC upravljački program 42.2.5

SQL Server JDBC upravljački program 4.6

Ta verzija upravljačkog programa podržava uvijek uključen SQL poslužitelj (uvijek uključene instance klastera u slučaju pogreške i uvijek uključene skupine dostupnosti).

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Ako želite da HDS čvorovi koriste Windows provjeru autentičnosti kako bi dobili pristup bazi podataka tipkovnica na Microsoft SQL poslužitelju, tada vam je potrebna sljedeća konfiguracija u svom okruženju:

Svi HDS čvorovi, infrastruktura Active Directory i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji pružite HDS čvorovima mora imati pristup za čitanje/pisanje bazi podataka.
DNS poslužitelji koje ustupite HDS čvorovima moraju moći razriješiti vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka možete registrirati na svom Microsoft SQL poslužitelju kao glavno ime usluge (SPN) u svom okruženju Active Directory. Pogledajte odjeljak Registrirajte glavni naziv usluge za Kerberos veze.

HDS alat za postavljanje, HDS pokretač i lokalni KMS moraju koristiti Windows provjeru autentičnosti za pristup bazi podataka tipkovnice. Oni koriste detalje iz vaše ISO konfiguracije za konstruiranje SPN-a kada zatraže pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću vezu za HDS aplikacije:

Aplikacija	Protokol	Priključak	Smjer iz aplikacije	Odredište
Čvorovi hibridne zaštite podataka	TCP	443	Izlazni HTTPS i WSS	Webex poslužitelji: .wbx2.com .ciscospark.com Svi organizatori zajedničkog identiteta Drugi URL-ovi koji su navedeni za hibridnu zaštitu podataka u tablici Dodatni URL-ovi za hibridne usluge WebexMrežni zahtjevi za usluge Webex
Alat za postavljanje HDS-a	TCP	443	Izlazni HTTPS	*.wbx2.com Svi organizatori zajedničkog identiteta hub.docker.com

Čvorovi hibridne zaštite podataka rade s prijevodom pristupa mreži (NAT) ili iza vatrozida, sve dok NAT ili vatrozid omogućuju potrebne izlazne veze s odredištima domena u prethodnoj tablici. Za veze koje ulaze u čvorove hibridne zaštite podataka nema vidljivih priključaka s interneta. Unutar vašeg podatkovnog centra klijentima treba pristup čvorovima hibridne zaštite podataka na TCP ulazima 443 i 22 za administrativne svrhe.

URL-ovi za organizatore zajedničkog identiteta (CI) specifični su za regiju. To su trenutačni CI organizatori:

Regija	URL-ovi organizatora zajedničkog identiteta
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza. Kako biste riješili taj problem, pogledajte odjeljak Konfiguriranje proxyja lignje za sigurnost hibridnih podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se pojavi ovaj problem, zaobilaženje (ne inspekcija) prometa do wbx2.com i ciscospark.com riješit će problem.

Dovrši preduvjete za sigurnost hibridnih podataka

S pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguriranje klastera hibridne zaštite podataka.

1	Provjerite je li za vašu partnersku organizaciju omogućena značajka HDS za više klijenata i preuzmite vjerodajnice računa s punim partnerskim administratorom i pravima potpunog administratora. Provjerite je li vaša korisnička organizacija Webex omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s tim postupkom obratite se svom Cisco partneru ili upravitelju računa. Organizacije korisnika ne bi trebale imati postojeću HDS implementaciju.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži certifikat X.509, privatni ključ i sve posredne certifikate. Lanac certifikata mora ispunjavati zahtjeve iz zahtjeva certifikata X.509.
3	Pripremite identične virtualne organizatore koje ćete postaviti kao čvorove hibridne zaštite podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (preporučeno 3) smještena u isti sigurni podatkovni centar koji ispunjavaju zahtjeve u odjeljku Zahtjevi virtualnog organizatora.
4	Pripremite poslužitelj baze podataka koji će djelovati kao spremište ključnih podataka za klaster, u skladu s Zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim glavnim računalima. Izradite bazu podataka za pohranu ključeva. (Morate izraditi tu bazu podataka — nemojte upotrebljavati zadanu bazu podataka. HDS aplikacije, kada su instalirane, stvaraju shemu baze podataka.) Prikupite pojedinosti koje će čvorovi upotrebljavati za komunikaciju s poslužiteljem baze podataka: ime organizatora ili IP adresu (organizator) i ulaz naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofa postavite sigurnosno okruženje u drugom podatkovnom centru. Sigurnosno okruženje odražava proizvodno okruženje VM-a i rezervni poslužitelj baze podataka. Na primjer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, sigurnosno okruženje treba imati 3 VM-a.
6	Postavite syslog glavno računalo za prikupljanje zapisnika s čvorova u klasteru. Prikupite mrežnu adresu i priključak za syslog (zadana postavka je UDP 514).
7	Izradite pravila sigurnog sigurnosnog kopiranja za čvorove hibridne zaštite podataka, poslužitelj baze podataka i glavno računalo syslog. Barem kako biste spriječili nepovratan gubitak podataka, morate sigurnosno kopirati bazu podataka i ISO datoteku konfiguracije generiranu za čvorove hibridne zaštite podataka. Budući da čvorovi hibridne zaštite podataka spremaju ključeve koji se upotrebljavaju u šifriranju i dešifriranju sadržaja, ako ne zadržite operativnu implementaciju, to će rezultirati POVRATNIM GUBITKOM tog sadržaja. Klijenti aplikacije Webex predmemoriraju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će s vremenom postati vidljiv. Iako se privremeni prekidi ne mogu spriječiti, oni se mogu oporaviti. Međutim, potpuni gubitak (nema dostupnih sigurnosnih kopija) baze podataka ili ISO datoteke konfiguracije rezultirat će nepovratnim podacima korisnika. Od operatora čvorova hibridne zaštite podataka očekuje se da će održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije i biti spremni na ponovnu izgradnju podatkovnog centra hibridne zaštite podataka u slučaju katastrofalnog neuspjeha.
8	Provjerite omogućava li konfiguracija vatrozida povezivanje za vaše čvorove hibridne zaštite podataka kao što je opisano u odjeljku Zahtjevi za vanjsko povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo koji lokalni stroj s podržanim OS-om (Microsoft Windows 10 Professional ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) s web-preglednikom koji mu može pristupiti u http://127.0.0.1:8080. Instancu Docker koristite za preuzimanje i pokretanje alata za postavljanje HDS-a koji izrađuje lokalne informacije o konfiguraciji za sve čvorove hibridne zaštite podataka. Možda će vam trebati licenca za Docker Desktop. Dodatne informacije potražite u odjeljku Zahtjevi za radnu površinu za docker . Da biste instalirali i pokrenuli HDS alat za postavljanje, lokalni stroj mora imati povezivost navedenu u odjeljku Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s hibridnom zaštitom podataka, provjerite zadovoljava li zahtjeve za proxy poslužitelj.

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS organizatore Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove hibridne zaštite podataka.
3	Instalirajte OVA organizatora za HDS Izradite virtualno računalo iz OVA datoteke i izvršite početnu konfiguraciju, npr. mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
4	Postavljanje VM hibridne zaštite podataka Prijavite se na VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.
5	Prijenos i postavljanje ISO HDS konfiguracije Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, navedite vrstu proxyja koji ćete upotrebljavati za čvor i po potrebi dodajte certifikat proxyja u spremište vjerodajnica.
7	Registrirajte prvi čvor u klasteru Registrirajte VM u Cisco Webex oblak kao čvor hibridne zaštite podataka.
8	Izradite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte HDS za više klijenata na Čvorištu partnera. Aktivirajte HDS i upravljajte organizacijama klijenata u okruženju Partner Hub.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzmite OVA datoteku na svoje računalo (ne na poslužitelje koje postavite kao čvorove hibridne zaštite podataka). Tu datoteku upotrebljavate kasnije u postupku instalacije.

1	Prijavite se u Čvorište partnera, a zatim kliknite na Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna zaštita podataka, a zatim kliknite na Postavljanje. Klikom na Postavljanje u okruženju Partner Hub ključno je za proces implementacije. Nemojte nastaviti s instalacijom bez dovršavanja ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi datoteku .OVA na kartici Instaliraj i konfiguriraj softver . Starije verzije programskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama hibridne zaštite podataka. To može rezultirati problemima tijekom nadogradnje aplikacije. Provjerite jeste li preuzeli najnoviju verziju OVA datoteke. OVA također u svakom trenutku možete preuzeti iz odjeljka Pomoć . Kliknite na Postavke > Pomoć > Preuzimanje softvera hibridne zaštite podataka. OVA datoteka automatski počinje s preuzimanjem. Spremite datoteku na lokaciju na svom uređaju.
4	Opcionalno kliknite na Prikaži vodič o implementaciji hibridne zaštite podataka kako biste provjerili postoji li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS organizatore

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora.

Ako nemate licencu za Docker radnu površinu, možete koristiti Podman radnu površinu za pokretanje alata za postavljanje HDS-a za korake od 1 do 5 u postupku u nastavku. Za više pojedinosti pogledajte Pokreni alat za postavljanje HDS-a pomoću radne površine Podman .

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovitim okruženjima s HTTPS proxy poslužiteljem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom.

Upotrijebite web-preglednik za pristup lokalnom organizatoru http://127.0.0.1:8080i na upit unesite administratorsko korisničko ime za Partner Hub.

Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.

8

Na stranici pregleda alata za postavljanje kliknite Početak rada.

9

Na stranici ISO uvoza imate sljedeće mogućnosti:

Ne– ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da – ako ste već izradili HDS čvorove, odaberite ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u Zahtjevima certifikata X.509.

Ako nikad prije niste prenijeli certifikat, prenesite certifikat X.509, unesite lozinku i kliknite na Nastavi.
Ako je vaš certifikat u redu, kliknite na Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastavi upotrebljavati HDS lanac certifikata i privatni ključ iz prethodnog ISO standarda?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite na Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili ključnom podatkovnom sustavu:

Odaberite Vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL poslužitelj, dobit ćete polje Vrsta provjere autentičnosti.
(Samo Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna provjera autentičnosti: Trebate lokalni naziv računa SQL poslužitelja u polju Korisničko ime .
- Windows provjera autentičnosti: Potreban vam je Windows račun u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu poslužitelja baze podataka u obliku : ili :.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

IP adresu možete koristiti za osnovnu provjeru autentičnosti, ako čvorovi ne mogu koristiti DNS za rješavanje naziva glavnog računala.

Ako upotrebljavate provjeru autentičnosti u sustavu Windows, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite naziv baze podataka.
Unesite Korisničko ime i Lozinku korisnika sa svim privilegijama u bazu podataka za pohranu ključeva.

12

Odaberite način povezivanja TLS baze podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi pokušavaju uspostaviti šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Taj način rada nije primjenjiv na baze podataka SQL Server. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostave TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u Korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također potvrđuju da naziv glavnog računala u certifikatu poslužitelja odgovara nazivu glavnog računala u polju Glavno računalo i ulaz baze podataka . Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete na Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi će možda moći uspostaviti TLS vezu čak i ako ju stroj za postavljanje HDS-a ne može uspješno testirati.)

13

Na stranici zapisnika sustava konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako se poslužitelj ne može riješiti DNS-om iz čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 naznačuje prijavu na Syslogd glavno računalo 10.92.43.23 na UDP ulazu 514.
Ako svoj poslužitelj postavite za upotrebu TLS šifriranja, označite Je li vaš syslog poslužitelj konfiguriran za SSL šifriranje?.

Ako ste označili ovaj potvrdni okvir, svakako unesite TCP URL kao što je tcp://10.92.43.23:514.
Na padajućem izborniku Odabir završetka zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Odaberite ili se novi redak koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Novija linija -- \n– odaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze baze podataka možete promijeniti u izborniku Napredne postavke. Općenito, ovaj je parametar jedini koji možda želite promijeniti:

app_datasource_connection_pool_maxSize: 10

15

Kliknite na Nastavi na zaslonu Ponovno postavi lozinku računa usluga .

Lozinke računa usluga imaju rok od devet mjeseci. Koristite ovaj zaslon kada se vaše lozinke bliže isteku ili ih želite ponovno postaviti tako da poništite valjanost prethodnih ISO datoteka.

16

Kliknite na Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu.

Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.

18

Da biste zatvorili alat za postavljanje, upišite CTRL+C.

Što učiniti sljedeće

Sigurnosno kopirajte ISO datoteku za konfiguraciju. Trebate ga kako biste izradili više čvorova za oporavak ili kako biste napravili promjene u konfiguraciji. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Dohvaćanje ključeva iz vaše baze podataka PostgreSQL ili Microsoft SQL Server nije moguće.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte OVA organizatora za HDS

Upotrijebite ovaj postupak za izradu virtualnog računala iz OVA datoteke.

1	Upotrijebite VMware vSphere klijent na svom računalu za prijavu u ESXi virtualno glavno računalo.
2	Odaberite Datoteka > Implementacija OVF predloška.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli i kliknite na Dalje.
4	Na stranici Odabir naziva i mape unesite Naziv virtualnog računala za čvor (na primjer, „HDS_Node_1“), odaberite lokaciju na kojoj se može nalaziti implementacija virtualnog računala, a zatim kliknite na Dalje.
5	Na stranici Odabir računalnog resursa odaberite odredišni računalni resurs, a zatim kliknite na Dalje. Provjera valjanosti je u tijeku. Nakon što završi, pojavit će se pojedinosti predloška.
6	Provjerite pojedinosti predloška i kliknite na Dalje.
7	Ako se od vas traži da odaberete konfiguraciju resursa na stranici Konfiguracija , kliknite 4 CPU-a , a zatim kliknite Dalje.
8	Na stranici Odabir pohrane kliknite Dalje kako biste prihvatili zadani format diska i pravila pohrane za VM.
9	Na stranici Odabir mreža odaberite opciju mreže s popisa unosa da biste omogućili željenu vezu s VM-om.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv glavnog računala– unesite FQDN (naziv glavnog računala i domenu) ili naziv glavnog računala za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblak, upotrijebite samo male znakove iz FQDN-a ili naziva glavnog računala koje ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije prelaziti 64 znaka. IP adresa– unesite IP adresu za unutarnje sučelje čvora. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan. Maska– unesite adresu maske podmreže u točkasto-decimalnoj oznaci. Na primjer, 255.255.255.0. Pristupnik– unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji– unesite popis DNS poslužitelja odvojen zarezom, koji upravljaju prijevodom naziva domena na numeričke IP adrese. (Dopušteno je do 4 DNS unosa.) NTP poslužitelji– unesite NTP poslužitelj svoje organizacije ili drugi vanjski NTP poslužitelj koji se može upotrebljavati u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezom za unos više NTP poslužitelja. Implementirajte sve čvorove na istoj podmreži ili VLAN-u tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako to želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje VM-a hibridne zaštite podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA-e testirana je uz ESXi 7.0. Opcija možda neće biti dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite VM čvora, a zatim odaberite Napajanje > Uključeno napajanje. Softver hibridne zaštite podataka instaliran je kao gost na VM organizatoru. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se pojave spremnici čvora. Poruka vatrozida mosta pojavljuje se na konzoli tijekom prvog pokretanja tijekom kojeg se ne možete prijaviti.

Postavljanje VM hibridne zaštite podataka

Pomoću ovog postupka se prvi put prijavite u VM konzolu čvora hibridne zaštite podataka i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali u vrijeme implementacije OVA-e.

1	U klijentu VMware vSphere odaberite svoj VM čvor hibridne zaštite podataka i odaberite karticu Konzola . VM se podiže i pojavljuje se upit za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Upotrijebite sljedeću zadanu prijavu i lozinku da biste se prijavili i promijenili vjerodajnice: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj VM, morate promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instaliraj OVA glavnog računala HDS, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju .
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i naziv DNS-a. DHCP nije podržan.
5	(Neobavezno) Promijenite naziv glavnog računala, domenu ili NTP poslužitelj (ili više njih), ako je potrebno radi usklađivanja s vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite VM kako bi promjene stupile na snagu.

Prijenos i postavljanje ISO HDS konfiguracije

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, ona bi trebala biti izložena samo na temelju "potrebe za znanjem", za pristup od strane VM-ova za hibridnu zaštitu podataka i svih administratora koji će možda trebati napraviti promjene. Provjerite mogu li samo ti administratori pristupiti datasturi.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite na ESXi poslužitelj.
Na popisu Hardver kartice Konfiguracija kliknite na Pohrana.
Na popisu Trgovine podacima desnom tipkom miša kliknite na bazu podataka za svoje VM-ove, a zatim Pretraži bazu podataka.
Kliknite ikonu Prenesi datoteke, a zatim Prenesi datoteku.
Prijeđite na lokaciju gdje ste preuzeli ISO datoteku na računalo i kliknite na Otvori.
Kliknite Da da biste prihvatili upozorenje o radu za prijenos/preuzimanje i zatvorili dijaloški okvir podatkovnog centra.

2

Postavite ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite na U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.
Kliknite CD/DVD Drive 1, odaberite opciju za montiranje s ISO datoteke podatkovnog centra i prijeđite na lokaciju na koju ste prenijeli ISO datoteku za konfiguraciju.
Označite Povezano i Poveži se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualno računalo.

Što učiniti sljedeće

Ako vaša IT pravila zahtijevaju, možete po želji poništiti ISO datoteku nakon što svi vaši čvorovi pokupe promjene konfiguracije. Pogledajte (Neobavezno) Za više pojedinosti uklonite ISO nakon HDS konfiguracije .

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web-preglednik, unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Nema proxyja – zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Prozirni proxy koji ne pregledava – čvorovi nisu konfigurirani za upotrebu određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne pregledava. Ažuriranje certifikata nije potrebno. Prozirna inspekcija proxyja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy– pomoću eksplicitnog proxy poslužitelja klijentu (HDS čvorovi) kažete koji proxy poslužitelj treba upotrebljavati, a ta opcija podržava nekoliko vrsta provjere autentičnosti. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN – adresa koja se može upotrebljavati za pristup proxy uređaju. Ulaz proxy– broj ulaza koji proxy koristi za slušanje prometa u blizini. Proxy protokol– odaberite http (prikazuje i kontrolira sve zahtjeve koji su primljeni od klijenta) ili https (pruža kanal poslužitelju i klijent prima i potvrđuje certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti– odaberite između sljedećih vrsta provjere autentičnosti: Ništa – nije potrebna dodatna provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno– upotrebljava se za HTTP korisnički agent za navođenje korisničkog imena i lozinke prilikom podnošenja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu Blokirano vanjsko DNS razlučivost. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključite način rada blokiranog vanjskog DNS razlučivosti.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak preuzima generički čvor koji ste stvorili u Postavljanje VM-a hibridne zaštite podataka, registrira čvor u Webex oblaku i pretvara ga u čvor hibridne zaštite podataka.

Kada registrirate svoj prvi čvor, stvorite klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova implementiranih kako bi se osigurali redundantnost.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Postavi.
4	Na stranici koja se otvara kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti čvor hibridne zaštite podataka. Preporučujemo da imenujete klaster temeljem lokacije geografskog položaja čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) čvora i kliknite na Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu glavnog računala i domeni koje ste upotrijebili u odjeljku Postavljanje VM-a hibridne zaštite podataka. Pojavit će se poruka koja označava da možete registrirati svoj čvor u Webex.
7	Kliknite na Idi na čvor. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Na stranici Hibridna zaštita podataka u kartici Resursi prikazuje se novi klaster koji sadrži čvor koji ste registrirali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Izradite i registrirajte više čvorova

Da biste dodali dodatne čvorove u klaster, jednostavno izradite dodatne VM-ove i postavite istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate najmanje 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate ga dovršiti u roku od 60 minuta ili morate započeti ispočetka.
Provjerite jesu li svi blokatori skočnih prozora u vašem pregledniku onemogućeni ili dopuštaju iznimku za admin.webex.com.

1	Izradite novi virtualni stroj iz OVA-e ponavljajući korake u Instaliraj OVA organizatora HDS-a.
2	Postavite početnu konfiguraciju na novom VM-u i ponovite korake u Postavite VM hibridne zaštite podataka.
3	Na novom VM-u ponovite korake u Prijenos i postavljanje HDS konfiguracije ISO-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u odjeljku Konfiguriranje HDS čvora za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comizborniku na lijevoj strani zaslona odaberite Usluge . U odjeljku Usluge u oblaku pronađite karticu Hibridnu zaštitu podataka i kliknite na Prikaži sve. Pojavit će se stranica Resursi hibridne zaštite podataka. Novoizrađeni klaster prikazat će se na stranici Resursi . Kliknite na klaster za prikaz čvorova dodijeljenih klasteru. Kliknite na Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) svog čvora i kliknite na Dodaj. Otvara se stranica s porukom koja označava da možete registrirati svoj čvor u Webex oblak. Nakon nekoliko trenutaka preusmjerit ćemo vas na testove povezivanja čvora za usluge Webex. Ako su svi testovi uspješni, pojavit će se stranica Dopusti pristup čvoru hibridne zaštite podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite okvir Dopusti pristup čvoru hibridne zaštite podataka , a zatim kliknite na Nastavi. Vaš je račun provjeren, a poruka „Registracija dovršena” naznačuje da je vaš čvor sada registriran u Webex oblaku. Kliknite vezu ili zatvorite karticu kako biste se vratili na stranicu Hibridna zaštita podataka Partner Hub. Skočna poruka dodana čvor pojavljuje se i na dnu zaslona u okruženju Partner Hub. Vaš je čvor registriran.

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Ovaj zadatak osigurava da svi korisnici korisničkih organizacija mogu početi upotrebljavati HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje HDS klastera za više klijenata s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke.
4	Kliknite na Aktiviraj HDS na kartici Status HDS .

Dodavanje organizacija klijenta u Čvorište partnera

U ovom zadatku dodijelite organizacije korisnika svom klasteru hibridne zaštite podataka.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Kliknite na klaster kojem želite da se dodijeli korisnik.
5	Otvorite karticu Dodijeljeni korisnici .
6	Kliknite na Dodaj korisnike.
7	Na padajućem izborniku odaberite korisnika kojeg želite dodati.
8	Kliknite na Dodaj, korisnik će se dodati u klaster.
9	Ponovite korake od 6 do 8 kako biste dodali više korisnika u svoj klaster.
10	Kliknite na Gotovo pri dnu zaslona nakon što dodate korisnike.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je opisano u odjeljku Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a kako biste dovršili postupak postavljanja.

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kao što je navedeno u odjeljku Dodavanje organizacija klijenta u okruženju Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte vezu sa svojom bazom podataka kako biste izvršili CMK upravljanje.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Izradi CMK za sve organizacije ili Izradi CMK – kliknite taj gumb na natpisu na vrhu zaslona da biste izradili CMK-ove za sve novododane organizacije. Kliknite na gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite na Izradi CMK-ove da biste izradili CMK-ove za sve novododane organizacije. Kliknite na više od statusa određene organizacije na čekanju za upravljanje CMK-om, a zatim kliknite na Izradi CMK da biste izradili CMK za tu organizaciju.
12	Nakon uspješne izrade CMK-a, status tablice promijenit će se iz CMK upravljanja na čekanju u CMK upravljano.
13	Ako izrada CMK-a nije uspjela, prikazat će se pogreška.

Ukloni organizacije klijenta

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći iskoristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja korisničkih organizacija, obratite se svom Cisco partneru ili upravitelju računa.

1	Prijavite se na https://admin.webex.com.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Prikaži sve.
4	Na kartici Resursi kliknite klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni korisnici.
6	Na popisu korisničkih organizacija koje se prikazuju kliknite ... na desnoj strani korisničke organizacije koju želite ukloniti i kliknite na Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivanjem CMK-ova korisničkih organizacija kao što je navedeno u odjeljku Opoziv CMK-ova klijenata uklonjenih iz HDS-a.

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera u skladu s uputama iz odjeljka Uklanjanje organizacija klijenta. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja za korisničke organizacije koje su uklonjene.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora za vašu organizaciju.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovitim okruženjima s HTTPS proxy poslužiteljem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Upotrijebite web-preglednik za pristup lokalnom organizatoru `http://127.0.0.1:8080`i na upit unesite administratorsko korisničko ime za Partner Hub. Alat upotrebljava ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite vjerodajnice za prijavu administratora za Partner Hub, a zatim kliknite na Prijava kako biste dopustili pristup potrebnim uslugama za hibridnu zaštitu podataka.
8	Na stranici pregleda alata za postavljanje kliknite Početak rada.
9	Na stranici ISO uvoz kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Otvorite karticu Upravljanje CMK-om klijenta , gdje ćete pronaći sljedeća tri načina za upravljanje CMK-ovima klijenta. Uskraćivanje CMK-a za sve organizacije ili Uskraćivanje CMK-a – kliknite ovaj gumb na natpisu na vrhu zaslona da biste uskratili CMK-ove svih uklonjenih organizacija. Kliknite na gumb Upravljaj CMK-ovima na desnoj strani zaslona i kliknite na Opoziv CMK-ova da biste opozvali CMK-ove svih uklonjenih organizacija. Kliknite … u blizini CMK za opoziv status određene organizacije u tablici i kliknite Uskrati CMK za opoziv CMK-a za tu određenu organizaciju.
12	Nakon uspješnog opoziva CMK-a, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspio, prikazat će se pogreška.

Testiranje implementacije hibridne zaštite podataka

Upotrijebite ovaj postupak za testiranje scenarija šifriranja hibridne zaštite podataka s više klijenata.

Prije početka

Postavite implementaciju hibridne zaštite podataka za više klijenata.
Provjerite imate li pristup syslog kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji hibridne zaštite podataka za više klijenata.

1

Tipke za dani prostor postavlja tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od korisnika organizacije korisnika i zatim izradite prostor.

Ako deaktivirate implementaciju hibridne zaštite podataka, sadržaj u prostorima koje korisnici izrađuju više neće biti dostupan nakon zamjene kopija ključeva za šifriranje u predmemoriji klijenta.

2

Šaljite poruke u novi prostor.

3

Provjerite izlaz syslog kako biste potvrdili da se ključni zahtjevi prenose vašoj implementaciji hibridne zaštite podataka.

Da biste provjerili da korisnik prvo uspostavlja siguran kanal na KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos kao što je sljedeći (identifikatori skraćeni za čitljivost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste provjerili korisnika koji traži postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste provjerili korisnika koji zahtijeva stvaranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste provjerili korisnika koji traži stvaranje novog objekta resursa KMS-a (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos kao što je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Praćenje stanja hibridne zaštite podataka

Pokazatelj statusa u okruženju Partner Hub pokazuje je li sve u redu s implementacijom hibridne zaštite podataka za više klijenata. Za proaktivno upozorenje registrirajte se za obavijesti e-poštom. Dobit ćete obavijest kada postoje alarmi koji utječu na uslugu ili nadogradnje softvera.

1	U okruženju Partner Hubodaberite Usluge na izborniku s lijeve strane zaslona.
2	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Uredi postavke. Pojavit će se stranica Postavke hibridne zaštite podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte razdvojenih zarezima i pritisnite Enter.

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Upotrijebite zadatke opisane ovdje kako biste upravljali implementacijom hibridne zaštite podataka.

Postavljanje rasporeda nadogradnje klastera

Nadogradnje softvera za hibridnu zaštitu podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek pokreću istu verziju softvera. Nadogradnje se izvršavaju u skladu s rasporedom nadogradnje za klaster. Kad nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije zakazanog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili upotrijebiti zadani raspored 3:00 ujutro, dnevno, Sjedinjene Američke Države: Amerika/Los Angeles. Ako je potrebno, možete odabrati i odgodu nadolazeće nadogradnje.

Da biste postavili raspored nadogradnje:

1	Prijavite se u Partner Hub.
2	Na izborniku na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridnu zaštitu podataka i kliknite na Postavi
4	Na stranici Resursi hibridne zaštite podataka odaberite klaster.
5	Kliknite karticu Postavke klastera .
6	Na stranici postavki klastera, u izborniku Raspored nadogradnje odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuju se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete odgoditi na sljedeći dan, ako je potrebno, klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meko ponovno postavljanje– stare i nove lozinke rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Teško ponovno postavljanje– stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Postupak postavljanja zahtijeva vjerodajnice računa Partner Hub s pravima potpunog administratora partnera.

Ako nemate licencu za Docker radnu površinu, možete koristiti Podman radnu površinu za pokretanje alata za postavljanje HDS-a za korake od 1.a do 1.e u postupku u nastavku. Za više pojedinosti pogledajte Pokreni alat za postavljanje HDS-a pomoću radne površine Podman .

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz varijable okruženja usluge Docker prilikom podizanja spremnika usluge Docker u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s lokalnim organizatorom putem http://localhost:8080. Upotrijebite http://127.0.0.1:8080 za povezivanje s lokalnim organizatorom. Kada se to od vas zatraži, unesite vjerodajnice za prijavu korisnika u Partner Hub i zatim kliknite na Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Da biste zatvorili alat za postavljanje, upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi VM čvor hibridne zaštite podataka i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte odjeljak Izrada i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u okruženju Partner Hub.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD Drive 1`, odaberite opciju za montiranje iz ISO datoteke i prijeđite na lokaciju gdje ste preuzeli novu ISO datoteku za konfiguraciju. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Ovaj postupak upotrijebite za uklanjanje čvora hibridne zaštite podataka iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualno računalo kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Upotrijebite VMware vSphere klijent na svom računalu da biste se prijavili u ESXi virtualno glavno računalo i isključili virtualno računalo.

2

Ukloni čvor:

Prijavite se u Čvorište partnera, a zatim odaberite Usluge.
Na kartici hibridne zaštite podataka kliknite na Prikaži sve kako biste prikazali stranicu Resursi hibridne zaštite podataka.
Odaberite klaster za prikaz ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Poništi registraciju ovog čvora na ploči koja se pojavljuje s desne strane
Također možete poništiti registraciju čvora klikom na… na desnoj strani čvora i odabirom opcije Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite na VM, a zatim Izbriši.)

Ako ne izbrišete VM, ne zaboravite poništiti konfiguracijsku ISO datoteku. Bez ISO datoteke ne možete koristiti VM za pristup sigurnosnim podacima.

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

Najkritičnija usluga koju pruža vaš klaster hibridne zaštite podataka je stvaranje i pohrana ključeva koji se upotrebljavaju za šifriranje poruka i drugog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodijeljen hibridnoj zaštiti podataka, novi zahtjevi za stvaranje ključa preusmjeravaju se na klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvoren svim korisnicima koji su ovlašteni za njihovo dohvaćanje, primjerice, članovima prostora za razgovor.

Budući da klaster obavlja kritičnu funkciju pružanja tih ključeva, nužno je da klaster ostane pokrenut i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka hibridne zaštite podataka ili konfiguracijskog ISO-a korištenog za shemu rezultirat će NEPOVRATNIM GUBITKOM sadržaja korisnika. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje da implementacija HDS-a u primarnom podatkovnom centru postane nedostupna, slijedite ovaj postupak za ručno prebacivanje u pričuvni podatkovni centar.

Prije početka

Poništite registraciju svih čvorova iz okruženja Partner Hub kao što je navedeno u odjeljku Uklanjanje čvora. Upotrijebite najnoviju ISO datoteku koja je konfigurirana s čvorovima klastera koji je prethodno bio aktivan kako biste izvršili postupak prebacivanja naveden u nastavku.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u odjeljku Stvaranje ISO konfiguracije za HDS organizatore.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke u svom lokalnom sustavu. Zaštitite sigurnosnu kopiju. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograniči pristup samo na administratore hibridne zaštite podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite na Uredi postavke >CD/DVD pogon 1 i odaberite ISO datoteku podatkovne baze. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i uvjerite se kako nema alarma najmanje 15 minuta.
7	Registrirajte čvor u okruženju Partner Hub. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u podatkovnom centru pripravnosti.

Što učiniti sljedeće

Nakon prebacivanja u slučaju pogreške, ako primarni podatkovni centar ponovno postane aktivan, poništite registraciju čvorova podatkovnog centra u pripravnosti i ponovite postupak konfiguriranja ISO-a i registriranja čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Standardna HDS konfiguracija izvodi se s montiranim ISO-om. Ali, neki korisnici ne vole ostaviti ISO datoteke stalno montirane. ISO datoteku možete poništiti nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

I dalje koristite ISO datoteke za mijenjanje konfiguracije. Kada izradite novi ISO ili ažurirate ISO putem alata za postavljanje, morate postaviti ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi pokupe promjene konfiguracije, ovim postupkom možete ponovo poništiti postavljanje ISO-a.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od HDS čvorova.
2	U vCenter Server uređaju odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteke podatkovnog centra.
4	Uključite HDS čvor i pobrinite se da nema alarma najmanje 20 minuta.
5	Ponovi za svaki HDS čvor zauzvrat.

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne zaštite podataka smatra se nedostupna ako su svi čvorovi u klasteru nedostupni ili klaster radi tako sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru hibridne zaštite podataka, imaju sljedeće simptome:

Nije moguće izraditi nove prostore (nije moguće izraditi nove ključeve)
Dešifriranje poruka i naziva prostora nije uspjelo za:
- Novi korisnici dodani su u prostor (ključevi se ne mogu dohvatiti)
- Postojeći korisnici u prostoru koji upotrebljavaju novi klijent (ključeve se ne mogu dohvatiti)
Postojeći korisnici u prostoru nastavit će se uspješno pokretati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje

Važno je da pravilno pratite svoj klaster hibridne zaštite podataka i odmah riješite sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavljanjem hibridne zaštite podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje poruke e-pošte na konfiguriranu adresu e-pošte. Upozorenja obuhvaćaju mnoge zajedničke scenarije.

Tablica 1. Zajednički problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite postoje li pogreške baze podataka ili problemi s lokalnom mrežom.
Pogreška pri povezivanju lokalne baze podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora upotrijebljene odgovarajuće vjerodajnice računa usluge.
Pogreška pristupa usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u odjeljku Zahtjevi vanjske povezivosti.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je otkazana. Produljenje registracije je u tijeku.
Prekinuta je registracija usluge u oblaku.	Registracija za usluge u oblaku prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u okruženju Partner Hub.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li vaš certifikat poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji je uzrok da je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početnog postavljanja.
Provjera autentičnosti za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica računa usluge.
Otvaranje datoteke lokalne tipkovnice nije uspjelo.	Provjerite integritet i točnost lozinke u datoteci lokalne tipkovnice.
Certifikat lokalnog poslužitelja nije valjan.	Provjerite datum isteka certifikata poslužitelja i potvrdite kako ga je izdala pouzdana ustanova za izdavanje certifikata.
Ne može se objaviti metrika.	Provjerite pristup vanjskoj mreži za lokalne usluge u oblaku.
Direktorij /media/configdrive/hds ne postoji.	Provjerite konfiguraciju ISO postavljanja na virtualnom glavnom računalu. Provjerite postoji li ISO datoteka, je li konfigurirana za instalaciju nakon ponovnog pokretanja i uspješno se montira.
Postavljanje organizacije klijenta nije dovršeno za dodane organizacije	Dovršite postavljanje izradom CMK-a za novododane organizacije klijenata pomoću alata za postavljanje HDS-a.
Postavljanje organizacije klijenta nije dovršeno za uklonjene organizacije	Dovršite postavljanje povlačenjem CMK-a organizacija klijenta koje su uklonjene pomoću alata za postavljanje HDS-a.

Rješavanje problema sigurnosti hibridnih podataka

Upotrijebite sljedeće opće smjernice pri rješavanju problema s hibridnom sigurnošću podataka.

1	Pregledajte okruženje Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Pogledajte sliku u nastavku za referencu.
2	Pregledajte izlaz syslog poslužitelja za aktivnost iz implementacije hibridne zaštite podataka. Filtrirajte riječi kao što su "Upozorenje" i "Pogreška" kako biste pomogli u rješavanju problema.
3	Obratite se Ciscovoj podršci.

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Ako zatvorite klaster hibridne zaštite podataka (brisanjem ga u okruženju Partner Hub ili isključivanjem svih čvorova), izgubite ISO datoteku za konfiguraciju ili izgubite pristup bazi podataka tipkovnice, korisnici aplikacije Webex u korisničkim organizacijama više neće moći upotrebljavati prostore pod svojim popisom Osobe koji su stvoreni s ključevima iz vašeg KMS-a. Trenutačno nemamo zaobilazno rješenje ili rješenje za taj problem i potičemo vas da ne zatvorite svoje HDS usluge nakon što rukuju aktivnim korisničkim računima.
Klijent koji ima postojeću ECDH vezu na KMS održava tu vezu neko vremensko razdoblje (vjerojatno jedan sat).

Pokreni alat za postavljanje HDS-a pomoću radne površine Podman

Podman je besplatan i open-source alat za upravljanje kontejnerima koji pruža način vođenja, upravljanja i stvaranja kontejnera. Radnu površinu Podman možete preuzeti iz https://podman-desktop.io/downloads.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, preuzmite i pokrenite Podman na tom uređaju. Za postupak postavljanja potrebne su vjerodajnice računa centra za kontrolu s punim administratorskim pravima za vašu tvrtku ili ustanovu.

Ako se alat za postavljanje HDS-a izvodi iza proxyja u vašem okruženju, pružite postavke proxyja (poslužitelj, ulaz, vjerodajnice) kroz Docker varijable okruženja prilikom podizanja Docker spremnika u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO datoteka za konfiguraciju koju generirate sadrži glavni ključ koji šifrira bazu podataka PostgreSQL ili Microsoft SQL Server. Trebate najnoviju kopiju ove datoteke u svakom trenutku kada napravite promjene konfiguracije, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene pravila autorizacije
Ako planirate šifrirati veze baze podataka, postavite implementaciju PostgreSQL ili SQL Server za TLS.

Postupak postavljanja hibridne zaštite podataka stvara ISO datoteku. Zatim koristite ISO za konfiguriranje organizatora hibridne zaštite podataka.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Što učiniti sljedeće

Slijedite preostale korake u odjeljku Stvaranje ISO konfiguracije za HDS organizatore ili Promjena konfiguracije čvora da biste izradili ili promijenili ISO konfiguraciju.

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Prije početka

OpenSSL je alat koji se može koristiti za izradu PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatu za postavljanje HDS-a. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način preko drugog.
Ako odaberete upotrebu OpenSSL-a, ovaj postupak pružamo kao smjernica za pomoć u stvaranju datoteke koja ispunjava zahtjeve certifikata X.509 u zahtjevima certifikata X.509. Prije nastavka upoznajte se s tim zahtjevima.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavača certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA-a, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite pojedinosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta da biste stvorili datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve srednje CA certifikate i korijenske CA certifikate, u sljedećem formatu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite pojedinosti certifikata poslužitelja. `openssl pkcs12 -in hdsnode.p12` Nakon upita unesite lozinku za šifriranje privatnog ključa tako da je naveden u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat linije `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Što učiniti sljedeće

Vratite se na Ispunjavanje preduvjeta za hibridnu zaštitu podataka. Datoteku hdsnode.p12 i lozinku koju ste za nju postavili koristit ćete u Izradi ISO konfiguraciju za HDS organizatore.

Te datoteke možete ponovno upotrijebiti kako biste zatražili novi certifikat kada originalni certifikat istekne.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Čvorovi hibridne zaštite podataka šalju određenu metriku u Webex oblak. To uključuje metriku sustava za maks. snopa, korištenu snopu, opterećenje procesora i broj niti; metriku sinkroniziranih i asinkronih niti; metriku upozorenja koja uključuju prag veza za šifriranje, kašnjenje ili duljinu reda čekanja zahtjeva; metriku na datastori i metriku veza za šifriranje. Čvorovi šalju šifrirani materijal ključa preko kanala koji nije na pojasu (odvojen od zahtjeva).

Dolazni promet

Čvorovi hibridne zaštite podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje preusmjerava usluga za šifriranje
Nadogradnje softvera čvora

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Proxy poslužitelji lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje Websocket (wss:) veza koje zahtijeva hibridna zaštita podataka. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Lignje kako biste zanemarili wss: promet za ispravan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu u squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu zaštitu podataka sa sljedećim pravilima dodanim u squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Nove i promijenjene informacije

Ova tablica obuhvaća nove značajke ili funkcionalnosti, promjene postojećeg sadržaja i sve veće pogreške koje su ispravljene u Vodiču za implementaciju hibridne sigurnosti podataka za više zakupaca.

Datum	Napravljene promjene
8. svibnja 2025.	Dodano Premještanje postojećeg HDS implementacije za jednog zakupca partnerske organizacije u Control Hubu u postavku HDS-a za više zakupaca u odjeljku Partner Hub. Ažuriran je izlaz sysloga radi poboljšanja čitljivosti u odjeljku Testiranje implementacije sigurnosti hibridnih podataka. Ažurirani Zahtjevi za virtualni host, Tijek zadataka implementacije hibridne sigurnosti podatakai Instalacija HDS Host OVA za dodavanje podrške za ESXi 8.0.
4. ožujka 2025.	Dodano Pokretanje alata za postavljanje HDS-a pomoću odjeljka Podman Desktop. Dodana je napomena u Zahtjevi za Docker Desktop koja korisnicima pruža alternativnu opciju otvorenog koda. Ažurirano Izradite ISO konfiguraciju za HDS hostove i Promijenite konfiguraciju čvora s uputama za korištenje Podman Desktopa za korisnike bez Docker Desktop licence.
30. siječnja 2025.	Dodana je verzija SQL servera 2022 na popis podržanih SQL servera u Zahtjevi za poslužitelj baze podataka.
15. siječnja 2025.	Dodana ograničenja sigurnosti podataka hibridnog sustava s više zakupaca.
8. siječnja 2025.	Dodana je napomena u Izvršite početno postavljanje i preuzmite instalacijske datoteke u kojoj se navodi da je klik na Postavi na HDS kartici u Partner Hubu važan korak u procesu instalacije.
7. siječnja 2025.	Ažurirani su zahtjevi za virtualni host, tijek zadataka implementacije hibridne sigurnosti podatakai instalacija HDS Host OVA kako bi se prikazali novi zahtjevi ESXi 7.0.
13. prosinca 2024.	Prvi put objavljeno.

Deaktivirajte sigurnost hibridnih podataka za više zakupaca

Tijek zadatka deaktivacije višestanarskog HDS-a

Slijedite ove korake za potpunu deaktivaciju Multi-Tenant HDS-a.

Prije početka

Ovaj zadatak treba obavljati samo administrator partnera s punim ovlastima.

1	Uklonite sve korisnike iz svih svojih klastera, kao što je spomenuto u Uklanjanje organizacija korisnika.
2	Poništite CMK-ove svih kupaca, kao što je spomenuto u Poništite CMK-ove stanara uklonjenih iz HDS-a..
3	Uklonite sve čvorove iz svih vaših klastera, kao što je spomenuto u Uklanjanje čvora.
4	Izbrišite sve svoje klastere iz Partner Huba pomoću jedne od sljedeće dvije metode. Kliknite na klaster koji želite izbrisati i odaberite Izbriši ovaj klaster u gornjem desnom kutu stranice pregleda. Na stranici Resursi kliknite … s desne strane klastera i odaberite Ukloni klaster.
5	Kliknite karticu Postavke na stranici s pregledom hibridne sigurnosti podataka i kliknite Deaktiviraj HDS na kartici Status HDS-a.

Započnite s hibridnom sigurnošću podataka za više zakupaca

Pregled sigurnosti hibridnih podataka za više zakupaca

Od prvog dana, sigurnost podataka bila je primarni fokus pri dizajniranju Webex aplikacije. Temelj ove sigurnosti je end-to-end enkripcija sadržaja, koju omogućuju klijenti Webex aplikacije koji komuniciraju s uslugom upravljanja ključevima (KMS). KMS je odgovoran za stvaranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifriranje i dešifriranje poruka i datoteka.

Prema zadanim postavkama, svi korisnici Webex aplikacije dobivaju end-to-end enkripciju s dinamičkim ključevima pohranjenim u cloud KMS-u, u Ciscovoj sigurnosnoj domeni. Hibridna sigurnost podataka premješta KMS i druge sigurnosne funkcije u podatkovni centar vašeg poduzeća, tako da nitko osim vas ne drži ključeve vašeg šifriranog sadržaja.

Višenamjenska hibridna sigurnost podataka omogućuje organizacijama da iskoriste HDS putem pouzdanog lokalnog partnera koji može djelovati kao pružatelj usluga i upravljati lokalnim šifriranjem i drugim sigurnosnim uslugama. Ova postavka omogućuje partnerskoj organizaciji potpunu kontrolu nad implementacijom i upravljanjem ključevima za šifriranje te osigurava sigurnost korisničkih podataka organizacija klijenata od vanjskog pristupa. Partnerske organizacije postavljaju HDS instance i stvaraju HDS klastere prema potrebi. Svaka instanca može podržavati više korisničkih organizacija za razliku od redovnog HDS implementacije koja je ograničena na jednu organizaciju.

Iako partnerske organizacije imaju kontrolu nad implementacijom i upravljanjem, nemaju pristup podacima i sadržaju koji generiraju korisnici. Ovaj pristup je ograničen na organizacije klijenata i njihove korisnike.

To također omogućuje manjim organizacijama da iskoriste HDS, budući da su usluge upravljanja ključevima i sigurnosna infrastruktura poput podatkovnih centara u vlasništvu pouzdanog lokalnog partnera.

Kako hibridna sigurnost podataka za više zakupaca osigurava suverenitet i kontrolu podataka

Sadržaj koji generiraju korisnici zaštićen je od vanjskog pristupa, poput pružatelja usluga u oblaku.
Lokalni pouzdani partneri upravljaju ključevima za šifriranje kupaca s kojima već imaju uspostavljen odnos.
Mogućnost lokalne tehničke podrške, ako je pruža partner.
Podržava sadržaj za sastanke, poruke i pozive.

Ovaj dokument ima za cilj pomoći partnerskim organizacijama u postavljanju i upravljanju korisnicima u okviru hibridnog sustava sigurnosti podataka za više zakupaca.

Ograničenja sigurnosti podataka hibridnih sustava s više zakupaca

Partnerske organizacije ne smiju imati aktivno postojeće HDS raspoređivanje u Control Hubu.
Organizacije zakupci ili klijenti koje žele da njima upravlja partner ne smiju imati nikakvu postojeću HDS implementaciju u Control Hubu.
Nakon što partner implementira Multi-Tenant HDS, svi korisnici korisničkih organizacija, kao i korisnici partnerske organizacije, počinju koristiti Multi-Tenant HDS za svoje usluge šifriranja.

Partnerska organizacija i korisničke organizacije kojima upravljaju bit će na istom Multi-Tenant HDS implementaciji.

Partnerska organizacija više neće koristiti cloud KMS nakon implementacije Multi-Tenant HDS-a.
Ne postoji mehanizam za vraćanje ključeva u Cloud KMS nakon implementacije HDS-a.
Trenutno, svako višestanačko HDS raspoređivanje može imati samo jedan klaster, s više čvorova ispod njega.
Uloge administratora imaju određena ograničenja; detalje potražite u odjeljku u nastavku.

Uloge u hibridnoj sigurnosti podataka za više zakupaca

Potpuni administrator partnera - Može upravljati postavkama za sve korisnike kojima partner upravlja. Također mogu dodijeliti administratorske uloge postojećim korisnicima u organizaciji i dodijeliti partnerskim administratorima upravljanje određenim korisnicima.
Administrator partnera - Može upravljati postavkama za korisnike koje je administrator omogućio ili koji su dodijeljeni korisniku.
Puni administrator - Administrator partnerske organizacije koji je ovlašten za obavljanje zadataka kao što su izmjena postavki organizacije, upravljanje licencama i dodjeljivanje uloga.

Postavljanje i upravljanje HDS-om za više zakupaca od početka do kraja za sve organizacije korisnika - Potrebna su puna administratorska prava partnera i puna administratorska prava.
Upravljanje dodijeljenim organizacijama zakupaca - Potreban je administrator partnera i puna administratorska prava.

Arhitektura sigurnosnog područja

Webexova arhitektura oblaka odvaja različite vrste usluga u odvojene domene ili domene povjerenja, kao što je prikazano u nastavku.

***Područja odvojenosti (bez hibridne sigurnosti podataka)***

Kako bismo bolje razumjeli hibridnu sigurnost podataka, prvo pogledajmo ovaj slučaj čistog oblaka, gdje Cisco pruža sve funkcije u svojim cloud područjima. Usluga identifikacije, jedino mjesto gdje korisnici mogu biti izravno povezani sa svojim osobnim podacima poput adrese e-pošte, logički je i fizički odvojena od sigurnosnog područja u podatkovnom centru B. Oboje su pak odvojene od područja u kojem se u konačnici pohranjuje šifrirani sadržaj, u podatkovnom centru C.

Na ovom dijagramu, klijent je Webex aplikacija koja se izvodi na korisnikovom prijenosnom računalu i autentificirala se putem usluge identiteta. Kada korisnik sastavlja poruku za slanje u prostor, odvijaju se sljedeći koraci:

Klijent uspostavlja sigurnu vezu s uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifriranje poruke. Sigurna veza koristi ECDH, a KMS šifrira ključ pomoću glavnog ključa AES-256.
Poruka se šifrira prije nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja stvara šifrirane indekse pretraživanja kako bi pomogla u budućim pretragama sadržaja.
Šifrirana poruka šalje se službi za usklađenost radi provjere usklađenosti.
Šifrirana poruka pohranjuje se u području pohrane.

Prilikom implementacije Hybrid Data Securityja, funkcije sigurnosnog područja (KMS, indeksiranje i usklađenost) premještate u svoj lokalni podatkovni centar. Ostale usluge u oblaku koje čine Webex (uključujući pohranu identiteta i sadržaja) ostaju u Ciscovoj nadležnosti.

Suradnja s drugim organizacijama

Korisnici u vašoj organizaciji mogu redovito koristiti Webex aplikaciju za suradnju s vanjskim sudionicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je stvorio jedan od vaših korisnika), vaš KMS šalje ključ klijentu putem ECDH sigurnog kanala. Međutim, kada druga organizacija posjeduje ključ za prostor, vaš KMS usmjerava zahtjev prema Webex oblaku putem zasebnog ECDH kanala kako bi dobio ključ od odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na izvornom kanalu.

KMS usluga koja se izvodi u organizaciji A provjerava veze s KMS-ovima u drugim organizacijama pomoću x.509 PKI certifikata. Pogledajte Priprema okruženja za detalje o generiranju x.509 certifikata za korištenje s implementacijom hibridne sigurnosti podataka za više zakupaca.

Očekivanja za implementaciju hibridne sigurnosti podataka

Implementacija hibridne sigurnosti podataka zahtijeva značajnu predanost i svijest o rizicima koji dolaze s posjedovanjem ključeva za šifriranje.

Za implementaciju hibridne sigurnosti podataka morate osigurati:

Sigurni podatkovni centar u zemlji koja je podržana lokacija za Cisco Webex Teams planove.
Oprema, softver i mrežni pristup opisani u Pripremite svoje okruženje.

Potpuni gubitak ISO datoteke konfiguracije koju izradite za Hybrid Data Security ili baze podataka koju pružite rezultirat će gubitkom ključeva. Gubitak ključa sprječava korisnike da dešifriraju sadržaj prostora i ostale šifrirane podatke u Webex aplikaciji. Ako se to dogodi, možete izraditi novo raspoređivanje, ali bit će vidljiv samo novi sadržaj. Kako biste izbjegli gubitak pristupa podacima, morate:

Upravljajte sigurnosnom kopijom i oporavkom baze podataka i ISO datoteke konfiguracije.
Budite spremni za brzi oporavak od katastrofe ako se dogodi katastrofa, poput kvara diska baze podataka ili katastrofe podatkovnog centra.

Ne postoji mehanizam za vraćanje ključeva u oblak nakon implementacije HDS-a.

Postupak postavljanja na visokoj razini

Ovaj dokument pokriva postavljanje i upravljanje implementacijom hibridne sigurnosti podataka za više zakupaca:

Postavljanje hibridne sigurnosti podataka— To uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu sigurnost podataka, izgradnju HDS klastera, dodavanje organizacija zakupaca u klaster i upravljanje njihovim glavnim ključevima korisnika (CMK). To će omogućiti svim korisnicima vaših organizacija klijenata da koriste vaš hibridni klaster sigurnosti podataka za sigurnosne funkcije.

Faze postavljanja, aktivacije i upravljanja detaljno su obrađene u sljedeća tri poglavlja.
Održavajte svoju implementaciju hibridne sigurnosti podataka— Webex oblak automatski pruža kontinuirane nadogradnje. Vaš IT odjel može pružiti podršku prve razine za ovo raspoređivanje i po potrebi angažirati Ciscovu podršku. Možete koristiti obavijesti na zaslonu i postaviti upozorenja putem e-pošte u Partner Hubu.
Razumijevanje uobičajenih upozorenja, koraka za rješavanje problema i poznatih problema— Ako naiđete na probleme s implementacijom ili korištenjem Hybrid Data Securityja, posljednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći u utvrđivanju i rješavanju problema.

Hibridni model implementacije sigurnosti podataka

Unutar vašeg podatkovnog centra poduzeća, hibridnu sigurnost podataka implementirate kao jedan klaster čvorova na odvojenim virtualnim hostovima. Čvorovi komuniciraju s Webex oblakom putem sigurnih websocketa i sigurnog HTTP-a.

Tijekom procesa instalacije, pružamo vam OVA datoteku za postavljanje virtualnog uređaja na virtualnim strojevima koje ste nam dali. Alat za postavljanje HDS-a koristite za izradu prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svaki čvor. Klaster hibridne sigurnosti podataka koristi vaš Syslogd poslužitelj i bazu podataka PostgreSQL ili Microsoft SQL Server. (Syslogd i detalje veze s bazom podataka konfigurirate u alatu za postavljanje HDS-a.)

Hibridni model implementacije sigurnosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo barem tri po klasteru. Posjedovanje više čvorova osigurava da se usluga ne prekida tijekom nadogradnje softvera ili drugih aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor odjednom.)

Svi čvorovi u klasteru pristupaju istom ključnom spremištu podataka i zapisuju aktivnosti na isti syslog poslužitelj. Sami čvorovi su bez stanja i obrađuju ključne zahtjeve kružnim postupkom, prema uputama oblaka.

Čvorovi postaju aktivni kada ih registrirate u Partner Hubu. Da biste pojedinačni čvor isključili iz upotrebe, možete ga odjaviti, a kasnije ga po potrebi ponovno registrirati.

Rezervni podatkovni centar za oporavak od katastrofe

Tijekom implementacije postavljate sigurni rezervni podatkovni centar. U slučaju katastrofe podatkovnog centra, možete ručno prebaciti implementaciju u rezervni podatkovni centar.

Prije prebacivanja u slučaju kvara, podatkovni centar A ima aktivne HDS čvorove i primarnu PostgreSQL ili Microsoft SQL Server bazu podataka, dok B ima kopiju ISO datoteke s dodatnim konfiguracijama, virtualnim strojevima koji su registrirani u organizaciji i bazom podataka u stanju pripravnosti. Nakon prebacivanja u slučaju kvara, podatkovni centar B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrirane virtualne strojeve i kopiju ISO datoteke, a baza podataka je u stanju pripravnosti. — ***Ručno prebacivanje u rezervni podatkovni centar***

Baze podataka aktivnih i rezervnih podatkovnih centara međusobno su sinkronizirane, što će smanjiti vrijeme potrebno za izvođenje prebacivanja na drugi sustav.

Aktivni čvorovi Hybrid Data Security moraju uvijek biti u istom podatkovnom centru kao i aktivni poslužitelj baze podataka.

Podrška za proxy poslužitelje

Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.

Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:

Bez proxyja—Zadana vrijednost ako ne koristite HDS čvor za postavljanje pohrane povjerenja & Konfiguracija proxyja za integraciju proxyja. Ažuriranje certifikata nije potrebno.
Transparentni proxy koji ne provjerava— Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Ažuriranje certifikata nije potrebno.
Transparentno tuneliranje ili inspekcija proxyja— Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy— S eksplicitnim proxyjem, HDS čvorovima govorite koji proxy poslužitelj i shemu autentifikacije trebaju koristiti. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
1. Proxy IP/FQDN—Adresa koja se može koristiti za pristup proxy računalu.
2. Proxy port—Broj porta koji proxy koristi za osluškivanje proxy prometa.
3. Proxy protokol— Ovisno o tome što vaš proxy poslužitelj podržava, odaberite jedan od sljedećih protokola:
  - HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
  - HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
4. Vrsta provjere autentičnosti— Odaberite jednu od sljedećih vrsta provjere autentičnosti:
  - Ništa—Nije potrebna daljnja provjera autentičnosti.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
  - Osnovno— Koristi se za HTTP korisnički agent kako bi pružio korisničko ime i lozinku prilikom slanja zahtjeva. Koristi Base64 kodiranje.
    
    Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
  - Sažetak—Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
    
    Dostupno samo ako kao proxy protokol odaberete HTTPS.
    
    Zahtijeva unos korisničkog imena i lozinke na svaki čvor.

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Ovaj dijagram prikazuje oglednu vezu između hibridne sigurnosti podataka, mreže i proxy poslužitelja. Za transparentnu provjeru i HTTPS eksplicitnu provjeru mogućnosti proxy poslužitelja, isti korijenski certifikat mora biti instaliran na proxyju i na čvorovima hibridne sigurnosti podataka.

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.

Priprema okruženja

Zahtjevi za sigurnost podataka hibridnih sustava s više zakupaca

Zahtjevi za licencu Cisco Webex

Za implementaciju hibridne sigurnosti podataka za više zakupaca:

Partnerske organizacije: Obratite se svom Cisco partneru ili voditelju računa i provjerite je li omogućena značajka Višestruki zakupac.
Organizacije stanara: Morate imati Pro Pack za Cisco Webex Control Hub. (Vidi https://www.cisco.com/go/pro-pack.)

Zahtjevi Docker radne površine

Prije nego što instalirate HDS čvorove, potreban vam je Docker Desktop za pokretanje programa za postavljanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša će organizacija možda zahtijevati plaćenu pretplatu za Docker Desktop. Pojedinosti potražite u postu na Dockerovom blogu "Docker ažurira i proširuje naše pretplate na proizvode".

Korisnici bez Docker Desktop licence mogu koristiti alat za upravljanje kontejnerima otvorenog koda poput Podman Desktopa za pokretanje, upravljanje i stvaranje kontejnera. Za detalje pogledajte Pokretanje alata za postavljanje HDS-a pomoću Podman Desktopa.

Zahtjevi za X.509 certifikat

Lanac certifikata mora ispunjavati sljedeće zahtjeve:

Tablica 1. Zahtjevi za X.509 certifikat za implementaciju hibridne sigurnosti podataka
Uvjet	Pojedinosti
Potpisano od strane pouzdanog tijela za izdavanje certifikata (CA)	Prema zadanim postavkama, vjerujemo CA-ima na Mozillinoj listi (s izuzetkom WoSign-a i StartCom-a) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi naziv domene Common Name (CN) koji identificira vašu implementaciju Hybrid Data Security Nije zamjenski certifikat	CN ne mora biti dostupan niti mora biti aktivni domaćin. Preporučujemo da koristite naziv koji odražava vašu organizaciju, na primjer, `hds.company.com`. CN ne smije sadržavati * (džoker). CN se koristi za provjeru hibridnih čvorova sigurnosti podataka za klijente Webex aplikacije. Svi hibridni čvorovi sigurnosti podataka u vašem klasteru koriste isti certifikat. Vaš KMS se identificira pomoću CN domene, a ne bilo koje domene definirane u poljima x.509v3 SAN. Nakon što registrirate čvor s ovim certifikatom, ne podržavamo promjenu naziva CN domene.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za provjeru valjanosti veza s KMS-ovima drugih organizacija.
Formatira se kao PKCS zaštićen lozinkom #12 datoteka Upotrijebite prijateljski naziv `kms-private-key` za označavanje certifikata, privatnog ključa i svih međucertifikata za prijenos.	Za promjenu formata certifikata možete koristiti pretvarač poput OpenSSL-a. Morat ćete unijeti lozinku kada pokrenete alat za postavljanje HDS-a.

KMS softver ne nameće korištenje ključeva ili proširena ograničenja korištenja ključeva. Neki izdavatelji certifikata zahtijevaju da se na svaki certifikat primjenjuju proširena ograničenja korištenja ključeva, kao što je autentifikacija poslužitelja. U redu je koristiti autentifikaciju poslužitelja ili druge postavke.

Zahtjevi za virtualni host

Virtualni hostovi koje ćete postaviti kao hibridne čvorove sigurnosti podataka u svom klasteru imaju sljedeće zahtjeve:

Najmanje dva odvojena hosta (preporučuje se 3) smještena u istom sigurnom podatkovnom centru
Instaliran i pokrenut VMware ESXi 7.0 ili 8.0.

Morate nadograditi ako imate stariju verziju ESXi-ja.
Minimalno 4 vCPU-a, 8 GB glavne memorije, 30 GB lokalnog prostora na tvrdom disku po poslužitelju

Zahtjevi poslužitelja baze podataka

Izradite novu bazu podataka za pohranu ključeva. Nemojte koristiti zadanu bazu podataka. HDS aplikacije, kada se instaliraju, stvaraju shemu baze podataka.

Postoje dvije opcije za poslužitelj baze podataka. Zahtjevi za svaki su sljedeći:

Tablica 2 Zahtjevi poslužitelja baze podataka prema vrsti baze podataka
PostgreSQL	Microsoft SQL Server
PostgreSQL 14, 15 ili 16, instaliran i pokrenut.	Instaliran je SQL Server 2016, 2017, 2019 ili 2022 (Enterprise ili Standard). SQL Server 2016 zahtijeva Service Pack 2 i kumulativno ažuriranje 2 ili noviji.
Minimalno 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporučuje se 2 TB ako želite koristiti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)	Minimalno 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na tvrdom disku i nadzor kako bi se osiguralo da se ne prekorači (preporučuje se 2 TB ako želite koristiti bazu podataka dulje vrijeme bez potrebe za povećanjem prostora za pohranu)

HDS softver trenutno instalira sljedeće verzije upravljačkih programa za komunikaciju s poslužiteljem baze podataka:

PostgreSQL

Microsoft SQL Server

Postgres JDBC upravljački program 42.2.5

Upravljački program SQL Server JDBC 4.6

Ova verzija upravljačkog programa podržava SQL Server Always On ( instance klastera Always On Failover i grupe dostupnosti Always On).

Dodatni zahtjevi za provjeru autentičnosti sustava Windows na Microsoft SQL Serveru

Ako želite da HDS čvorovi koriste Windows autentifikaciju za pristup vašoj bazi podataka spremišta ključeva na Microsoft SQL Serveru, tada vam je potrebna sljedeća konfiguracija u vašem okruženju:

HDS čvorovi, infrastruktura Active Directoryja i MS SQL Server moraju biti sinkronizirani s NTP-om.
Windows račun koji dajete HDS čvorovima mora imati read/write pristup bazi podataka.
DNS poslužitelji koje pružate HDS čvorovima moraju biti u mogućnosti razlučivati vaš Centar za distribuciju ključeva (KDC).
Instancu HDS baze podataka na Microsoft SQL Serveru možete registrirati kao naziv principala usluge (SPN) u Active Directoryju. Pogledajte Registriranje naziva principala usluge za Kerberos veze.

Alat za postavljanje HDS-a, pokretač HDS-a i lokalni KMS moraju koristiti Windows autentifikaciju za pristup bazi podataka spremišta ključeva. Koriste detalje iz vaše ISO konfiguracije za izradu SPN-a prilikom zahtjeva za pristup s Kerberos autentifikacijom.

Zahtjevi za vanjsku povezivost

Konfigurirajte svoj vatrozid kako biste omogućili sljedeću povezivost za HDS aplikacije:

Aplikacija	Protokol	Priključak	Upute iz aplikacije	Odredište
Hibridni čvorovi za sigurnost podataka	TCP	443	Odlazni HTTPS i WSS	Webex serveri: .wbx2.com .ciscospark.com Svi hostovi za zajednički identitet Ostali URL-ovi koji su navedeni za hibridnu sigurnost podataka u tablici Dodatni URL-ovi za Webex hibridne usluge u odjeljku Mrežni zahtjevi za Webex usluge
Alat za postavljanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi hostovi za zajednički identitet hub.docker.com

Čvorovi hibridne sigurnosti podataka rade s prevođenjem mrežnog pristupa (NAT) ili iza vatrozida, sve dok NAT ili vatrozid dopuštaju potrebne izlazne veze s odredištima domene u prethodnoj tablici. Za veze koje idu prema čvorovima Hybrid Data Security, nijedan port ne bi trebao biti vidljiv s interneta. Unutar vašeg podatkovnog centra, klijentima je potreban pristup čvorovima Hybrid Data Security na TCP portovima 443 i 22 u administrativne svrhe.

URL-ovi za hostove Common Identity (CI) specifični su za regiju. Ovo su trenutni CI hostovi:

Regija	Uobičajeni URL-ovi hosta za identitet
Južna i Sjeverna Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Europska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Preduvjeti proxy poslužitelja

Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
- Prozirni proxy – Cisco Web Security Appliance (WSA).
- Eksplicitni proxy – lignje.
  
  Squid proxyji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Za rješavanje ovog problema pogledajte Konfiguriranje Squid proxyja za hibridnu sigurnost podataka.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
- Nema provjere autentičnosti s HTTP ili HTTPS-om
- Osnovna provjera autentičnosti s HTTP ili HTTPS-om
- Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se pojavi ovaj problem, zaobilaženje (nepregled) prometa prema wbx2.com i ciscospark.com riješit će problem.

Ispunite preduvjete za hibridnu sigurnost podataka

Pomoću ovog kontrolnog popisa provjerite jeste li spremni za instalaciju i konfiguraciju svog hibridnog klastera sigurnosti podataka.

1	Provjerite ima li vaša partnerska organizacija omogućenu značajku Multi-Tenant HDS i nabavite vjerodajnice računa s punim administratorskim pravima partnera i punim administratorskim pravima. Provjerite je li vaša Webex korisnička organizacija omogućena za Pro Pack za Cisco Webex Control Hub. Za pomoć u vezi s ovim postupkom obratite se svom Cisco partneru ili voditelju računa. Organizacije korisnika ne bi smjele imati nikakvu postojeću implementaciju HDS-a.
2	Odaberite naziv domene za svoju HDS implementaciju (na primjer, `hds.company.com`) i nabavite lanac certifikata koji sadrži X.509 certifikat, privatni ključ i sve međucertifikate. Lanac certifikata mora ispunjavati zahtjeve u X.509 Zahtjevi za certifikat.
3	Pripremite identične virtualne hostove koje ćete postaviti kao hibridne čvorove sigurnosti podataka u svom klasteru. Potrebna su vam barem dva odvojena hosta (preporučuje se 3) smještena u istom sigurnom podatkovnom centru, koji ispunjavaju uvjete u Zahtjevi za virtualni host.
4	Pripremite poslužitelj baze podataka koji će djelovati kao ključno spremište podataka za klaster, prema zahtjevima poslužitelja baze podataka. Poslužitelj baze podataka mora biti smješten u sigurnom podatkovnom centru s virtualnim hostovima. Izradite bazu podataka za pohranu ključeva. (Morate stvoriti ovu bazu podataka—nemojte koristiti zadanu bazu podataka.) HDS aplikacije, kada se instaliraju, stvaraju shemu baze podataka.) Prikupite detalje koje će čvorovi koristiti za komunikaciju s poslužiteljem baze podataka: naziv hosta ili IP adresa (host) i port naziv baze podataka (dbname) za pohranu ključeva korisničko ime i lozinka korisnika sa svim privilegijama na bazi podataka za pohranu ključeva
5	Za brzi oporavak od katastrofe, postavite sigurnosno okruženje u drugom podatkovnom centru. Okruženje za sigurnosne kopije odražava produkcijsko okruženje virtualnih strojeva i poslužitelja sigurnosne kopije baze podataka. Na primjer, ako produkcija ima 3 virtualna računala koja pokreću HDS čvorove, sigurnosno okruženje treba imati 3 virtualna računala.
6	Postavite syslog host za prikupljanje logova s čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (zadano je UDP 514).
7	Izradite sigurnu politiku sigurnosnog kopiranja za čvorove Hybrid Data Security, poslužitelj baze podataka i host syslog-a. Kao minimum, kako biste spriječili nepovratan gubitak podataka, morate napraviti sigurnosnu kopiju baze podataka i konfiguracijske ISO datoteke generirane za čvorove Hybrid Data Security. Budući da hibridni čvorovi sigurnosti podataka pohranjuju ključeve koji se koriste za šifriranje i dešifriranje sadržaja, neuspjeh u održavanju operativne implementacije rezultirat će NEPOVRATNIM GUBITKOM tog sadržaja. Klijenti Webex aplikacije pohranjuju svoje ključeve u predmemoriju, tako da prekid rada možda neće biti odmah uočljiv, ali će postati očit s vremenom. Iako je privremene prekide nemoguće spriječiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (bez dostupnih sigurnosnih kopija) baze podataka ili konfiguracijske ISO datoteke rezultirat će nepovratnim podacima korisnika. Očekuje se da će operateri čvorova Hybrid Data Security održavati česte sigurnosne kopije baze podataka i ISO datoteke konfiguracije te biti spremni ponovno izgraditi podatkovni centar Hybrid Data Security ako dođe do katastrofalnog kvara.
8	Osigurajte da konfiguracija vašeg vatrozida omogućuje povezivanje vaših hibridnih čvorova sigurnosti podataka kako je navedeno u Zahtjevi za vanjsku povezivost.
9	Instalirajte Docker ( https://www.docker.com) na bilo koje lokalno računalo s podržanim operativnim sustavom (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) s web preglednikom koji mu može pristupiti na http://127.0.0.1:8080. Docker instancu koristite za preuzimanje i pokretanje HDS Setup Toola, koji izrađuje lokalne konfiguracijske podatke za sve Hybrid Data Security čvorove. Možda će vam trebati Docker Desktop licenca. Za više informacija pogledajte Zahtjevi za Docker Desktop. Za instalaciju i pokretanje HDS Setup Tool-a, lokalno računalo mora imati povezivost opisanu u Zahtjevi za vanjsku povezivost.
10	Ako integrirate proxy s Hybrid Data Security, provjerite ispunjava li zahtjeve za proxy poslužitelj.

Postavljanje hibridnog klastera za sigurnost podataka

Tijek zadatka implementacije hibridne sigurnosti podataka

Prije početka

1	Izvršite početno postavljanje i preuzmite instalacijske datoteke Preuzmite OVA datoteku na svoje lokalno računalo za kasniju upotrebu.
2	Izradite ISO konfiguraciju za HDS hostove Pomoću alata za postavljanje HDS-a stvorite ISO konfiguracijsku datoteku za čvorove Hybrid Data Security.
3	Instalirajte HDS Host OVA Iz OVA datoteke stvorite virtualni stroj i izvršite početnu konfiguraciju, kao što su mrežne postavke. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA testirana je s ESXi 7.0 i 8.0. Opcija možda nije dostupna u ranijim verzijama.
4	Postavljanje virtualnog stroja za hibridnu sigurnost podataka Prijavite se u VM konzolu i postavite vjerodajnice za prijavu. Konfigurirajte mrežne postavke za čvor ako ih niste konfigurirali prilikom implementacije OVA-e.
5	Prenesite i montirajte ISO datoteku konfiguracije HDS-a Konfigurirajte VM iz ISO konfiguracijske datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.
6	Konfiguriranje HDS čvora za integraciju proxy poslužitelja Ako mrežno okruženje zahtijeva konfiguraciju proxyja, odredite vrstu proxyja koju ćete koristiti za čvor i po potrebi dodajte proxy certifikat u pohranu podataka.
7	Registrirajte prvi čvor u klasteru Registrirajte virtualni stroj u Cisco Webex oblaku kao hibridni čvor za sigurnost podataka.
8	Stvorite i registrirajte više čvorova Dovršite postavljanje klastera.
9	Aktivirajte Multi-Tenant HDS na Partner Hubu. Aktivirajte HDS i upravljajte organizacijama zakupaca na Partner Hubu.

Izvršite početno postavljanje i preuzmite instalacijske datoteke

U ovom zadatku preuzimate OVA datoteku na svoje računalo (ne na poslužitelje koje ste postavili kao čvorove Hybrid Data Security). Ovu datoteku koristite kasnije u procesu instalacije.

1	Prijavite se u Partner Hub, a zatim kliknite Usluge.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna sigurnost podataka, a zatim kliknite Postavi. Klikanje na Postavi u Partner Hubu ključno je za proces implementacije. Ne nastavljajte s instalacijom bez dovršetka ovog koraka.
3	Kliknite Dodaj resurs i kliknite Preuzmi .OVA datoteku na kartici Instaliraj i konfiguriraj softver. Starije verzije softverskog paketa (OVA) neće biti kompatibilne s najnovijim nadogradnjama Hybrid Data Securityja. To može uzrokovati probleme prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke. OVA možete preuzeti i u bilo kojem trenutku iz odjeljka Pomoć. Kliknite Postavke > Pomoć > Preuzmite hibridni softver za sigurnost podataka. Preuzimanje OVA datoteke automatski počinje. Spremite datoteku na lokaciju na vašem računalu.
4	Po želji kliknite Pogledajte vodič za implementaciju hibridne sigurnosti podataka kako biste provjerili je li dostupna novija verzija ovog vodiča.

Izradite ISO konfiguraciju za HDS hostove

Postupak postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg Hybrid Data Security hosta.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Za postupak postavljanja potrebne su vjerodajnice Partner Hub računa s punim administratorskim pravima.

Ako nemate licencu za Docker Desktop, možete koristiti Podman Desktop za pokretanje alata za postavljanje HDS-a za korake od 1 do 5 u donjem postupku. Za detalje pogledajte Pokretanje alata za postavljanje HDS-a pomoću Podman Desktopa.

Ako se alat za postavljanje HDS-a pokreće iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem Docker varijabli okruženja prilikom pokretanja Docker kontejnera u koraku 5 u nastavku. Ova tablica daje neke moguće varijable okoliša:

Opis

Varijabla

HTTP proxy bez provjere autentičnosti

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

HTTPS proxy bez provjere autentičnosti

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

HTTP proxy s provjerom autentičnosti

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proxy s provjerom autentičnosti

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. Trebate najnoviju kopiju ove datoteke svaki put kada mijenjate konfiguraciju, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u pravilima autorizacije
Ako planirate šifrirati veze s bazom podataka, postavite implementaciju PostgreSQL-a ili SQL Servera za TLS.

1

Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje:

U redovitim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.

2

Da biste se prijavili u Dockerov registar slika, unesite sljedeće:

docker login -u hdscustomersro

3

Na upit za zaporku unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Preuzmite najnoviju stabilnu sliku za svoje okruženje:

U redovitim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje:

U uobičajenim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U uobičajenim okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovnim okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez proxyja:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTP proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima s HTTPS proxyjem:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".

6

Alat za postavljanje ne podržava povezivanje s localhostom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje s localhostom.

Pomoću web preglednika posjetite localhost, http://127.0.0.1:8080, i unesite korisničko ime administratora za Partner Hub u upit.

Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.

7

Kada se to od vas zatraži, unesite svoje administratorske vjerodajnice za prijavu u Partner Hub, a zatim kliknite Prijava kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.

8

Na stranici s pregledom alata za postavljanje kliknite Početak rada.

9

Na stranici Uvoz ISO-a imate sljedeće mogućnosti:

Ne— Ako stvarate svoj prvi HDS čvor, nemate ISO datoteku za prijenos.
Da— Ako ste već stvorili HDS čvorove, odaberite svoju ISO datoteku u pregledniku i prenesite je.

10

Provjerite ispunjava li vaš X.509 certifikat zahtjeve u X.509 zahtjevima za certifikat.

Ako nikada prije niste prenijeli certifikat, prenesite X.509 certifikat, unesite lozinku i kliknite Nastavi.
Ako je vaš certifikat u redu, kliknite Nastavi.
Ako je vaš certifikat istekao ili ga želite zamijeniti, odaberite Ne za Nastaviti koristiti HDS lanac certifikata i privatni ključ iz prethodnog ISO-a?. Prenesite novi X.509 certifikat, unesite lozinku i kliknite Nastavi.

11

Unesite adresu baze podataka i račun za HDS kako biste pristupili svom ključnom spremištu podataka:

Odaberite vrstu baze podataka (PostgreSQL ili Microsoft SQL Server).

Ako odaberete Microsoft SQL Server, dobit ćete polje Vrsta provjere autentičnosti.
(samo za Microsoft SQL Server ) Odaberite svoju vrstu provjere autentičnosti:
- Osnovna autentifikacija: U polju Korisničko ime potrebno je upisati naziv lokalnog SQL Server računa.
- Provjera autentičnosti sustava Windows: U polju Korisničko ime potreban vam je Windows račun u formatu username@DOMAIN ].
Unesite adresu poslužitelja baze podataka u obliku : ili :.

Primjer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresu za osnovnu autentifikaciju ako čvorovi ne mogu koristiti DNS za razrješavanje naziva hosta.

Ako koristite Windows provjeru autentičnosti, morate unijeti potpuno kvalificirani naziv domene u formatu dbhost.example.org:1433
Unesite Naziv baze podataka.
Unesite korisničko ime i lozinku korisnika sa svim privilegijama na bazi podataka za pohranu ključeva.

12

Odaberite TLS način povezivanja s bazom podataka:

Način rada	Opis
Preferiraj TLS (zadana opcija)	HDS čvorovi ne zahtijevaju TLS za povezivanje s poslužiteljem baze podataka. Ako omogućite TLS na poslužitelju baze podataka, čvorovi će pokušati šifriranu vezu.
Zahtijevaj TLS	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u.
Zahtijevajte TLS i potvrdite potpisnika certifikata	Ovaj način rada nije primjenjiv za SQL Server baze podataka. HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.
Zahtijevajte TLS i potvrdite potpisnika certifikata i naziv domaćina	HDS čvorovi se spajaju samo ako poslužitelj baze podataka može pregovarati o TLS-u. Nakon uspostavljanja TLS veze, čvor uspoređuje potpisnika certifikata s poslužitelja baze podataka s autoritetom certifikata u korijenskom certifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu. Čvorovi također provjeravaju podudara li se naziv hosta u certifikatu poslužitelja s nazivom hosta u polju Host i port baze podataka. Imena se moraju točno podudarati ili čvor prekida vezu. Koristite kontrolu korijenskog certifikata baze podataka ispod padajućeg izbornika za učitavanje korijenskog certifikata za ovu opciju.

Kada prenesete korijenski certifikat (ako je potrebno) i kliknete Nastavi, alat za postavljanje HDS-a testira TLS vezu s poslužiteljem baze podataka. Alat također potvrđuje potpisnika certifikata i naziv domaćina, ako je primjenjivo. Ako test ne uspije, alat prikazuje poruku o pogrešci koja opisuje problem. Možete odabrati želite li zanemariti pogrešku i nastaviti s podešavanjem. (Zbog razlika u povezivosti, HDS čvorovi bi mogli uspostaviti TLS vezu čak i ako je HDS Setup Tool ne može uspješno testirati.)

13

Na stranici Sistemski zapisnici konfigurirajte svoj Syslogd poslužitelj:

Unesite URL syslog poslužitelja.

Ako poslužitelj nije DNS-razlučiv s čvorova za vaš HDS klaster, upotrijebite IP adresu u URL-u.

Primjer:
udp://10.92.43.23:514 označava zapisivanje na Syslogd host 10.92.43.23 na UDP portu 514.
Ako ste postavili svoj poslužitelj za korištenje TLS enkripcije, provjerite Je li vaš syslog poslužitelj konfiguriran za SSL enkripciju?.

Ako označite ovaj potvrdni okvir, provjerite jeste li unijeli TCP URL kao što je tcp://10.92.43.23:514.
Iz padajućeg izbornika Odaberi prekid zapisa syslog odaberite odgovarajuću postavku za svoju ISO datoteku: Za Graylog i Rsyslog TCP koristi se Choose ili Newline
- Nulti bajt -- \x00
- Novi redak -- \n—Odaberite ovu opciju za Graylog i Rsyslog TCP.
Kliknite na Nastavi.

14

(Neobavezno) Zadanu vrijednost za neke parametre veze s bazom podataka možete promijeniti u Naprednim postavkama. Općenito, ovaj parametar je jedini koji biste možda htjeli promijeniti:

app_datasource_connection_pool_maxSize: 10

15

Kliknite Nastavi na zaslonu Poništi lozinku servisnih računa.

Lozinke za servisne račune imaju rok trajanja od devet mjeseci. Koristite ovaj zaslon kada se bliži istek lozinki ili ih želite resetirati kako biste poništili prethodne ISO datoteke.

16

Kliknite Preuzmi ISO datoteku. Spremite datoteku na mjesto koje je lako pronaći.

17

Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu.

Sigurnosnu kopiju čuvajte na sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore hibridne sigurnosti podataka koji bi trebali mijenjati konfiguraciju.

18

Za zatvaranje alata za postavljanje upišite CTRL+C.

Što učiniti sljedeće

Napravite sigurnosnu kopiju ISO datoteke konfiguracije. Trebate ga za stvaranje više čvorova za oporavak ili za promjene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Oporavak ključeva iz vaše PostgreSQL ili Microsoft SQL Server baze podataka nije moguć.

Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Pomoću ovog postupka stvorite virtualni stroj iz OVA datoteke.

1	Za prijavu na ESXi virtualni host koristite VMware vSphere klijent na svom računalu.
2	Odaberite Datoteka > Implementiraj OVF predložak.
3	U čarobnjaku odredite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite Dalje.
4	Na stranici Odaberite naziv i mapu unesite naziv virtualnog stroja za čvor (na primjer, "HDS_Node_1"), odaberite lokaciju na kojoj se može nalaziti implementacija čvora virtualnog stroja, a zatim kliknite Dalje.
5	Na stranici Odaberite računalni resurs odaberite odredišni računalni resurs, a zatim kliknite Dalje. Izvodi se provjera validacije. Nakon završetka, prikazuju se detalji predloška.
6	Provjerite detalje predloška, a zatim kliknite Dalje.
7	Ako se od vas zatraži da odaberete konfiguraciju resursa na stranici Konfiguracija, kliknite 4 CPU, a zatim kliknite Dalje.
8	Na stranici Odaberi pohranu kliknite Dalje da biste prihvatili zadani format diska i pravila pohrane virtualnog stroja.
9	Na stranici Odaberi mreže odaberite mrežnu opciju s popisa unosa kako biste osigurali željenu povezivost s virtualnim računalom.
10	Na stranici Prilagodi predložak konfigurirajte sljedeće mrežne postavke: Naziv hosta— Unesite FQDN (naziv hosta i domenu) ili naziv hosta od jedne riječi za čvor. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata. Kako biste osigurali uspješnu registraciju u oblaku, koristite samo mala slova u FQDN-u ili nazivu hosta koji ste postavili za čvor. Velika slova trenutno nisu podržana. Ukupna duljina FQDN-a ne smije biti veća od 64 znaka. IP adresa— Unesite IP adresu za interno sučelje čvora. Vaš čvor treba imati internu IP adresu i DNS naziv. DHCP nije podržan. Maska— Unesite adresu maske podmreže u točkasto-decimalnom zapisu. Na primjer, 255.255.255.0. Pristupnik— Unesite IP adresu pristupnika. Pristupnik je mrežni čvor koji služi kao pristupna točka drugoj mreži. DNS poslužitelji— Unesite popis DNS poslužitelja odvojenih zarezima koji obrađuju prevođenje naziva domena u numeričke IP adrese. (Dopuštena su do 4 DNS unosa.) NTP poslužitelji— Unesite NTP poslužitelj vaše organizacije ili neki drugi vanjski NTP poslužitelj koji se može koristiti u vašoj organizaciji. Zadani NTP poslužitelji možda neće raditi za sva poduzeća. Također možete koristiti popis odvojen zarezima za unos više NTP poslužitelja. Postavite sve čvorove na istu podmrežu ili VLAN, tako da svi čvorovi u klasteru budu dostupni klijentima u vašoj mreži u administrativne svrhe. Ako želite, možete preskočiti konfiguraciju mrežnih postavki i slijediti korake u Postavljanje virtualnog stroja za sigurnost hibridnih podataka za konfiguriranje postavki s konzole čvora. Mogućnost konfiguriranja mrežnih postavki tijekom implementacije OVA testirana je s ESXi 7.0 i 8.0. Opcija možda nije dostupna u ranijim verzijama.
11	Desnom tipkom miša kliknite čvor VM-a, a zatim odaberite Napajanje > Uključivanje. Softver za hibridnu sigurnost podataka instaliran je kao gost na VM hostu. Sada ste spremni prijaviti se u konzolu i konfigurirati čvor. Savjeti za otklanjanje poteškoća Može doći do kašnjenja od nekoliko minuta prije nego što se kontejneri čvorova pojave. Poruka o zaštitnom zidu mosta pojavljuje se na konzoli tijekom prvog pokretanja, tijekom kojeg se ne možete prijaviti.

Postavljanje virtualnog stroja za hibridnu sigurnost podataka

Pomoću ovog postupka prvi put se prijavite na konzolu virtualnog stroja čvora Hybrid Data Security i postavite vjerodajnice za prijavu. Također možete koristiti konzolu za konfiguriranje mrežnih postavki za čvor ako ih niste konfigurirali prilikom implementacije OVA-e.

1	U VMware vSphere klijentu odaberite svoj VM čvor Hybrid Data Security i odaberite karticu Console. VM se pokreće i pojavljuje se prompt za prijavu. Ako se upit za prijavu ne prikaže, pritisnite Enter.
2	Za prijavu i promjenu vjerodajnica koristite sljedeće zadane podatke za prijavu i lozinku: Prijava: `admin` Lozinka: `cisco` Budući da se prvi put prijavljujete na svoj virtualni stroj, potrebno je promijeniti administratorsku lozinku.
3	Ako ste već konfigurirali mrežne postavke u Instalirajte HDS Host OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom izborniku odaberite opciju Uredi konfiguraciju.
4	Postavite statičku konfiguraciju s IP adresom, maskom, pristupnikom i DNS informacijama. Vaš čvor treba imati internu IP adresu i DNS naziv. DHCP nije podržan.
5	(Neobavezno) Po potrebi promijenite naziv hosta, domenu ili NTP poslužitelj(e) kako bi odgovarali vašim mrežnim pravilima. Ne morate postaviti domenu tako da odgovara domeni koju ste koristili za dobivanje X.509 certifikata.
6	Spremite mrežnu konfiguraciju i ponovno pokrenite virtualni stroj kako bi promjene stupile na snagu.

Prenesite i montirajte ISO datoteku konfiguracije HDS-a

Pomoću ovog postupka konfigurirajte virtualni stroj iz ISO datoteke koju ste stvorili pomoću alata za postavljanje HDS-a.

Prije početka

Budući da ISO datoteka sadrži glavni ključ, trebala bi biti dostupna samo onima koji joj "trebaju pristupiti", odnosno virtualnim strojevima za sigurnost hibridnih podataka i administratorima koji bi mogli trebati napraviti promjene. Pobrinite se da samo ti administratori mogu pristupiti spremištu podataka.

1

Prenesite ISO datoteku s računala:

U lijevom navigacijskom oknu VMware vSphere klijenta kliknite na ESXi poslužitelj.
Na popisu hardvera na kartici Konfiguracija kliknite Pohrana.
Na popisu spremišta podataka desnom tipkom miša kliknite spremište podataka za svoje virtualne strojeve i kliknite Pregledaj spremište podataka.
Kliknite ikonu Prenesi datoteku, a zatim kliknite Prenesi datoteku.
Potražite lokaciju na računalu gdje ste preuzeli ISO datoteku i kliknite Otvori.
Kliknite Da za prihvaćanje upload/download upozorenje o operaciji i zatvorite dijalog spremišta podataka.

2

Montirajte ISO datoteku:

U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
Kliknite U redu kako biste prihvatili upozorenje o ograničenim mogućnostima uređivanja.
Kliknite CD/DVD Drive 1, odaberite opciju montiranja iz ISO datoteke spremišta podataka i pronađite lokaciju na koju ste prenijeli ISO datoteku konfiguracije.
Provjerite Spojeno i Spoji se pri uključivanju.
Spremite promjene i ponovno pokrenite virtualni stroj.

Što učiniti sljedeće

Ako vaša IT politika to zahtijeva, možete opcionalno odmontirati ISO datoteku nakon što svi vaši čvorovi prihvate promjene konfiguracije. Pogledajte (Neobavezno) Odmontiranje ISO-a nakon konfiguracije HDS-a za detalje.

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.

Prije nego što počnete

Pregled podržanih mogućnosti proxy poslužitelja potražite u članku Podrška za proxy poslužitelje.
Preduvjeti proxy poslužitelja

1	Unesite URL za postavljanje HDS čvora `https://[HDS Node IP or FQDN]/setup` u web preglednik, unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost: Bez proxyja—Zadana opcija prije integracije proxyja. Ažuriranje certifikata nije potrebno. Transparentni neinspektirajući proxy— Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s neinspektirajućim proxyjem. Ažuriranje certifikata nije potrebno. Transparentni pregled proxyja— Čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na implementaciji hibridne sigurnosti podataka nisu potrebne promjene HTTPS konfiguracije, međutim, HDS čvorovi trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS). Eksplicitni proxy— S eksplicitnim proxyjem, klijentu (HDS čvorovima) govorite koji proxy poslužitelj treba koristiti, a ova opcija podržava nekoliko vrsta autentifikacije. Kada odaberete ovu mogućnost, morate unijeti sljedeće podatke: Proxy IP/FQDN—Adresa koja se može koristiti za pristup proxy računalu. Proxy port—Broj porta koji proxy koristi za osluškivanje proxy prometa. Proxy protokol— Odaberite http (pregledava i kontrolira sve zahtjeve koji se primaju od klijenta) ili https (omogućuje kanal poslužitelju, a klijent prima i provjerava certifikat poslužitelja). Odaberite mogućnost na temelju onoga što podržava proxy poslužitelj. Vrsta provjere autentičnosti— Odaberite jednu od sljedećih vrsta provjere autentičnosti: Ništa—Nije potrebna daljnja provjera autentičnosti. Dostupno za HTTP ili HTTPS opune. Osnovno— Koristi se za HTTP korisnički agent kako bi pružio korisničko ime i lozinku prilikom slanja zahtjeva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Sažetak—Koristi se za potvrdu računa prije slanja osjetljivih informacija. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. Dostupno samo za HTTPS opune. Ako odaberete ovu mogućnost, morate unijeti i korisničko ime i lozinku. Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy.
3	Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku.
4	Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem, a čvor će funkcionirati u načinu rada blokiranog vanjskog DNS rezolucije. Ako mislite da je ovo pogreška, dovršite ove korake, a zatim pogledajte Isključivanje načina rješavanja blokiranog vanjskog DNS-a.
5	Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu.
6	Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta.
7	Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju.

Registrirajte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste stvorili u Postavljanje virtualnog stroja za hibridnu sigurnost podataka, registrira čvor u Webex oblaku i pretvara ga u čvor za hibridnu sigurnost podataka.

Kada registrirate svoj prvi čvor, stvarate klaster kojem je čvor dodijeljen. Klaster sadrži jedan ili više čvorova raspoređenih radi osiguranja redundancije.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti unutar 60 minuta ili morate početi ispočetka.
Provjerite jesu li u vašem pregledniku onemogućeni svi blokatori skočnih prozora ili jeste li omogućili iznimku za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Iz izbornika na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite karticu Hibridna sigurnost podataka i kliknite Postavi.
4	Na stranici koja se otvori kliknite Dodaj resurs.
5	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti svoj čvor Hybrid Data Security. Preporučujemo da klaster imenujete na temelju geografske lokacije čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
6	U drugo polje unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) vašeg čvora i kliknite Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu hosta i domeni koju ste koristili u Postavljanje virtualnog stroja za sigurnost hibridnih podataka. Pojavljuje se poruka koja označava da možete registrirati svoj čvor na Webexu.
7	Kliknite Idi na čvor. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivosti čvorova za Webex usluge. Ako su svi testovi uspješni, pojavljuje se stranica Dopusti pristup hibridnom čvoru sigurnosti podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
8	Označite potvrdni okvir Dopusti pristup vašem hibridnom čvoru sigurnosti podataka, a zatim kliknite Nastavi. Vaš je račun potvrđen, a poruka "Registracija dovršena" označava da je vaš čvor sada registriran u Webex oblaku.
9	Kliknite poveznicu ili zatvorite karticu da biste se vratili na stranicu Sigurnost hibridnih podataka u Partner Hubu. Na stranici Hibridna sigurnost podataka, novi klaster koji sadrži čvor koji ste registrirali prikazuje se pod karticom Resursi. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Stvorite i registrirajte više čvorova

Za dodavanje dodatnih čvorova u klaster, jednostavno stvorite dodatne virtualne strojeve i montirajte istu ISO datoteku konfiguracije, a zatim registrirajte čvor. Preporučujemo da imate barem 3 čvora.

Prije početka

Nakon što započnete registraciju čvora, morate je dovršiti unutar 60 minuta ili morate početi ispočetka.
Provjerite jesu li u vašem pregledniku onemogućeni svi blokatori skočnih prozora ili jeste li omogućili iznimku za admin.webex.com.

1	Iz OVA-e stvorite novi virtualni stroj ponavljajući korake u Instalirajte HDS Host OVA.
2	Postavite početnu konfiguraciju na novom virtualnom stroju ponavljajući korake u Postavljanje hibridnog virtualnog stroja za sigurnost podataka.
3	Na novom virtualnom stroju ponovite korake u Prijenos i montiranje ISO datoteke konfiguracije HDS-a.
4	Ako postavljate proxy za svoju implementaciju, ponovite korake u Konfigurirajte HDS čvor za integraciju proxyja prema potrebi za novi čvor.
5	Registrirajte čvor. U https://admin.webex.comodaberite Usluge iz izbornika na lijevoj strani zaslona. U odjeljku Usluge u oblaku pronađite karticu Sigurnost hibridnih podataka i kliknite Prikaži sve. Pojavit će se stranica Resursi za hibridnu sigurnost podataka. Novostvoreni klaster pojavit će se na stranici Resursi. Kliknite na klaster za pregled čvorova dodijeljenih klasteru. Kliknite Dodaj čvor na desnoj strani zaslona. Unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) vašeg čvora i kliknite Dodaj. Otvara se stranica s porukom da možete registrirati svoj čvor u Webex oblaku. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivosti čvorova za Webex usluge. Ako su svi testovi uspješni, pojavljuje se stranica Dopusti pristup hibridnom čvoru sigurnosti podataka. Tamo potvrđujete da želite dati dopuštenja svojoj organizaciji za pristup vašem čvoru. Označite potvrdni okvir Dopusti pristup vašem hibridnom čvoru sigurnosti podataka, a zatim kliknite Nastavi. Vaš je račun potvrđen, a poruka "Registracija dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Kliknite poveznicu ili zatvorite karticu da biste se vratili na stranicu Sigurnost hibridnih podataka u Partner Hubu. Čvor dodan skočni prozor također se pojavljuje na dnu zaslona u Partner Hubu. Vaš čvor je registriran.

Upravljanje organizacijama zakupaca na višezakupničkoj hibridnoj sigurnosti podataka

Aktivirajte Multi-Tenant HDS na Partner Hubu

Ovaj zadatak osigurava da svi korisnici organizacija klijenata mogu početi koristiti HDS za lokalne ključeve za šifriranje i druge sigurnosne usluge.

Prije početka

Provjerite jeste li dovršili postavljanje svog Multi-Tenant HDS klastera s potrebnim brojem čvorova.

1	Prijavite se na https://admin.webex.com.
2	Iz izbornika na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Sigurnost hibridnih podataka i kliknite Uredi postavke.
4	Kliknite Aktiviraj HDS na kartici Status HDS -a .

Dodajte organizacije zakupaca u Partner Hub

U ovom zadatku dodjeljujete organizacije korisnika svom hibridnom klasteru sigurnosti podataka.

1	Prijavite se na https://admin.webex.com.
2	Iz izbornika na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridna sigurnost podataka i kliknite Prikaži sve.
4	Kliknite na klaster kojem želite dodijeliti kupca.
5	Idite na karticu Dodijeljeni korisnici.
6	Kliknite Dodaj korisnike.
7	Iz padajućeg izbornika odaberite kupca kojeg želite dodati.
8	Kliknite Dodaj, korisnik će biti dodan u klaster.
9	Ponovite korake od 6 do 8 da biste dodali više korisnika u svoj klaster.
10	Kliknite Gotovo na dnu zaslona nakon što ste dodali kupce.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je detaljno opisano u Stvaranje glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a za dovršetak postupka postavljanja.

Izradite glavne ključeve korisnika (CMK) pomoću alata za postavljanje HDS-a

Prije početka

Dodijelite korisnike odgovarajućem klasteru kako je detaljno opisano u Dodavanje organizacija zakupaca u Partner Hub. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak postavljanja za novododane organizacije korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Za postupak postavljanja potrebne su vjerodajnice Partner Hub računa s punim administratorskim pravima za vašu organizaciju.

Ako se alat za postavljanje HDS-a pokreće iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem Docker varijabli okruženja prilikom pokretanja Docker kontejnera u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. Trebate najnoviju kopiju ove datoteke svaki put kada mijenjate konfiguraciju, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u pravilima autorizacije
Ako planirate šifrirati veze s bazom podataka, postavite implementaciju PostgreSQL-a ili SQL Servera za TLS.

Postupak postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg Hybrid Data Security hosta.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovnim okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s localhostom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje s localhostom. Pomoću web preglednika posjetite localhost, `http://127.0.0.1:8080`, i unesite korisničko ime administratora za Partner Hub u upit. Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite svoje administratorske vjerodajnice za prijavu u Partner Hub, a zatim kliknite Prijava kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.
8	Na stranici s pregledom alata za postavljanje kliknite Početak rada.
9	Na stranici Uvoz ISO-a kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je. Osigurajte povezivost s bazom podataka kako biste mogli upravljati CMK-om.
11	Idite na karticu Upravljanje CMK-ovima najmoprimaca, gdje ćete pronaći sljedeća tri načina upravljanja CMK-ovima najmoprimaca. Stvori CMK za sve ORG-ove ili Stvori CMK - Kliknite na ovaj gumb na banneru na vrhu zaslona za stvaranje CMK-ova za sve novododane organizacije. Kliknite gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite Stvori CMK-ove za stvaranje CMK-ova za sve novododane organizacije. Kliknite … blizu statusa upravljanja CMK-om na čekanju za određenu organizaciju u tablici i kliknite Izradi CMK za izradu CMK-a za tu organizaciju.
12	Nakon što je stvaranje CMK-a uspješno, status u tablici će se promijeniti iz upravljanje CMK-om na čekanju u upravljano CMK-om.
13	Ako stvaranje CMK-a nije uspješno, prikazat će se greška.

Uklonite organizacije stanara

Prije početka

Nakon uklanjanja, korisnici korisničkih organizacija neće moći koristiti HDS za svoje potrebe šifriranja i izgubit će sve postojeće prostore. Prije uklanjanja organizacija korisnika, obratite se svom Cisco partneru ili voditelju računa.

1	Prijavite se na https://admin.webex.com.
2	Iz izbornika na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridna sigurnost podataka i kliknite Prikaži sve.
4	Na kartici Resursi kliknite na klaster iz kojeg želite ukloniti organizacije korisnika.
5	Na stranici koja se otvori kliknite Dodijeljeni kupci.
6	S popisa prikazanih organizacija korisnika kliknite ... s desne strane organizacije korisnika koju želite ukloniti i kliknite Ukloni iz klastera.

Što učiniti sljedeće

Dovršite postupak uklanjanja opozivom CMK-ova organizacija korisnika kako je detaljno opisano u Opoziv CMK-ova stanara uklonjenih iz HDS-a.

Poništiti CMK-ove stanara uklonjenih iz HDS-a.

Prije početka

Uklonite korisnike iz odgovarajućeg klastera kako je detaljno opisano u Uklonite organizacije zakupaca. Pokrenite alat za postavljanje HDS-a kako biste dovršili postupak uklanjanja uklonjenih organizacija korisnika.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Za postupak postavljanja potrebne su vjerodajnice Partner Hub računa s punim administratorskim pravima za vašu organizaciju.

Ako se alat za postavljanje HDS-a pokreće iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem Docker varijabli okruženja prilikom pokretanja Docker kontejnera u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. Trebate najnoviju kopiju ove datoteke svaki put kada mijenjate konfiguraciju, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u pravilima autorizacije
Ako planirate šifrirati veze s bazom podataka, postavite implementaciju PostgreSQL-a ili SQL Servera za TLS.

Postupak postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg Hybrid Data Security hosta.

1	Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti.
2	Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro`
3	Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovnim okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja".
6	Alat za postavljanje ne podržava povezivanje s localhostom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje s localhostom. Pomoću web preglednika posjetite localhost, `http://127.0.0.1:8080`, i unesite korisničko ime administratora za Partner Hub u upit. Alat koristi ovaj prvi unos korisničkog imena za postavljanje odgovarajućeg okruženja za taj račun. Alat zatim prikazuje standardni upit za prijavu.
7	Kada se to od vas zatraži, unesite svoje administratorske vjerodajnice za prijavu u Partner Hub, a zatim kliknite Prijava kako biste omogućili pristup potrebnim uslugama za Hybrid Data Security.
8	Na stranici s pregledom alata za postavljanje kliknite Početak rada.
9	Na stranici Uvoz ISO-a kliknite Da.
10	Odaberite svoju ISO datoteku u pregledniku i prenesite je.
11	Idite na karticu Upravljanje CMK-ovima najmoprimaca, gdje ćete pronaći sljedeća tri načina upravljanja CMK-ovima najmoprimaca. Poništi CMK za sve ORG-ove ili Poništi CMK - Kliknite na ovaj gumb na banneru na vrhu zaslona kako biste poništili CMK-ove svih uklonjenih organizacija. Kliknite gumb Upravljanje CMK-ovima na desnoj strani zaslona i kliknite Poništi CMK-ove da biste poništili CMK-ove svih uklonjenih organizacija. Kliknite … blizu statusa CMK koji treba opozvati za određenu organizaciju u tablici i kliknite Poništi CMK da biste opozvali CMK za tu određenu organizaciju.
12	Nakon što je opoziv CMK-a uspješan, organizacija korisnika više se neće prikazivati u tablici.
13	Ako opoziv CMK-a nije uspješan, prikazat će se pogreška.

Testirajte svoju implementaciju hibridne sigurnosti podataka

Testirajte svoju hibridnu implementaciju sigurnosti podataka

Pomoću ovog postupka testirajte scenarije šifriranja hibridne sigurnosti podataka za više zakupaca.

Prije početka

Postavite implementaciju hibridne sigurnosti podataka za više zakupaca.
Osigurajte pristup syslogu kako biste provjerili prosljeđuju li se ključni zahtjevi vašoj implementaciji Multi-Tenant Hybrid Data Security.

1

Ključeve za određeni prostor postavlja kreator prostora. Prijavite se u Webex aplikaciju kao jedan od korisnika korisničke organizacije, a zatim stvorite prostor.

Ako deaktivirate implementaciju Hybrid Data Security, sadržaj u prostorima koje korisnici kreiraju više nije dostupan nakon što se zamijene kopije ključeva za šifriranje predmemorirane u klijentu.

2

Pošaljite poruke u novi prostor.

3

Provjerite izlaz sysloga kako biste potvrdili da se ključni zahtjevi prosljeđuju vašoj implementaciji Hybrid Data Security.

Ako korisnik novododane organizacije klijenta izvrši bilo kakvu radnju, ID organizacije pojavit će se u zapisnicima, a to se može koristiti za provjeru koristi li organizacija Multi-Tenant HDS. Provjerite vrijednost kms.data.orgId u syslogovima.

Za provjeru korisnika koji prvo uspostavlja siguran kanal prema KMS-u, filtrirajte prema kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebali biste pronaći unos poput sljedećeg (identifikatori skraćeni radi čitljivosti):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Za provjeru korisnika koji traži postojeći ključ od KMS-a, filtrirajte prema kms.data.method=retrieve i kms.data.type=KEY:

Trebali biste pronaći unos poput:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Da biste provjerili ima li korisnika koji traži stvaranje novog KMS ključa, filtrirajte prema kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebali biste pronaći unos poput:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Da biste provjerili ima li korisnika koji zahtijeva stvaranje novog KMS resursnog objekta (KRO) kada se stvori prostor ili drugi zaštićeni resurs, filtrirajte prema kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebali biste pronaći unos poput:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Praćenje stanja sigurnosti hibridnih podataka

Pokazatelj statusa unutar Partner Huba pokazuje vam je li sve u redu s implementacijom Multi-Tenant Hybrid Data Security. Za proaktivnije obavijesti prijavite se za obavijesti putem e-pošte. Bit ćete obaviješteni kada se pojave alarmi ili nadogradnje softvera koji utječu na uslugu.

1	U Partner Hubuodaberite Usluge iz izbornika na lijevoj strani zaslona.
2	U odjeljku Usluge u oblaku pronađite Sigurnost hibridnih podataka i kliknite Uredi postavke. Pojavit će se stranica Postavke hibridne sigurnosti podataka.
3	U odjeljku Obavijesti e-poštom upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Enter.

Upravljajte implementacijom HDS-a

Upravljanje implementacijom HDS-a

Pomoću ovdje opisanih zadataka upravljajte implementacijom hibridne sigurnosti podataka.

Postavi raspored nadogradnje klastera

Nadogradnje softvera za hibridnu sigurnost podataka obavljaju se automatski na razini klastera, što osigurava da svi čvorovi uvijek koriste istu verziju softvera. Nadogradnje se vrše prema rasporedu nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručne nadogradnje klastera prije planiranog vremena nadogradnje. Možete postaviti određeni raspored nadogradnje ili koristiti zadani raspored 3:00 AM Daily Sjedinjene Države: America/Los Angeles. Također možete odabrati odgodu nadogradnje, ako je potrebno.

Za postavljanje rasporeda nadogradnje:

1	Prijavite se u partnerski centar.
2	Iz izbornika na lijevoj strani zaslona odaberite Usluge.
3	U odjeljku Usluge u oblaku pronađite Hibridna sigurnost podataka i kliknite Postavi
4	Na stranici Hibridni resursi za sigurnost podataka odaberite klaster.
5	Kliknite na karticu Postavke klastera.
6	Na stranici Postavke klastera, pod Raspored nadogradnje, odaberite vrijeme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuje se sljedeći dostupni datum i vrijeme nadogradnje. Nadogradnju možete po potrebi odgoditi na sljedeći dan klikom na Odgodi za 24 sata.

Promjena konfiguracije čvora

Povremeno ćete možda morati promijeniti konfiguraciju hibridnog čvora sigurnosti podataka iz razloga kao što su:

Promjena x.509 certifikata zbog isteka ili drugih razloga.

Ne podržavamo promjenu naziva CN domene certifikata. Domena se mora podudarati s izvornom domenom koja se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promjenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

Ne podržavamo premještanje podataka s PostgreSQL-a na Microsoft SQL Server ili obrnuto. Kako biste promijenili okruženje baze podataka, pokrenite novu implementaciju Hibridne sigurnosti podataka.
Izrada nove konfiguracije za pripremu novog podatkovnog centra.

Također, u sigurnosne svrhe, Hybrid Data Security koristi lozinke računa servisa koje imaju devetomjesečni životni vijek. Nakon što alat za postavljanje HDS-a generira te lozinke, implementirajte ih na svaki hds čvor u datoteci ISO konfiguracije. Kada se lozinke vaše tvrtke ili ustanove približavaju isteku, primit ćete obavijest od tima webexa da ponovno postavite lozinku za račun računala. (E-pošta sadrži tekst, "Upotrijebite API za račun stroja za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam pruža dvije mogućnosti:

Meki reset— Stara i nova lozinka rade do 10 dana. Koristite ovo razdoblje za postupnu zamjenu ISO datoteke na čvorovima.
Hard reset—Stare lozinke odmah prestaju raditi.

Ako vaše lozinke isteknu bez resetiranja, to utječe na vaš HDS servis, zahtijevajući trenutno teško resetiranje i zamjenu ISO datoteke na svim čvorovima.

Pomoću ovog postupka generirajte novu konfiguracijsku ISO datoteku i primijenite je na svoj klaster.

Prije nego što počnete

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, pokrenite Docker na tom stroju. Za postupak postavljanja potrebne su vjerodajnice Partner Hub računa s punim administratorskim pravima partnera.

Ako nemate licencu za Docker Desktop, možete koristiti Podman Desktop za pokretanje alata za postavljanje HDS-a za korake od 1.a do 1.e u donjem postupku. Za detalje pogledajte Pokretanje alata za postavljanje HDS-a pomoću Podman Desktopa.

Ako se alat za postavljanje HDS-a pokreće iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem Docker varijabli okruženja prilikom pokretanja Docker kontejnera u 1.e. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za generiranje nove konfiguracije potrebna vam je kopija trenutne konfiguracije ISO datoteke. ISO sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada mijenjate konfiguraciju, uključujući vjerodajnice baze podataka, ažuriranja certifikata ili promjene pravila autorizacije.

1	Koristeći Docker na lokalnom stroju, pokrenite HDS Setup Tool. Na naredbenoj liniji stroja unesite odgovarajuću naredbu za svoje okruženje: U redovitim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne HDS slike alata za podešavanje. Ako nema prethodnih snimaka, vraća pogrešku koju možete zanemariti. Da biste se prijavili u Dockerov registar slika, unesite sljedeće: `docker login -u hdscustomersro` Na upit za zaporku unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za svoje okruženje: U redovitim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable` Provjerite jeste li izvukli najnoviji alat za podešavanje za ovaj postupak. Verzije alata izrađene prije 22. veljače 2018. nemaju zaslone za resetiranje lozinke. Kada se povlačenje završi, unesite odgovarajuću naredbu za svoje okruženje: U uobičajenim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U uobičajenim okruženjima s HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez proxyja: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTP proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima s HTTPS proxyjem: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kad je spremnik pokrenut, na portu 8080 vidjet ćete "Ekspresno slušanje poslužitelja". Koristite preglednik za povezivanje s localhostom, `http://127.0.0.1:8080`. Alat za postavljanje ne podržava povezivanje s localhostom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje s localhostom. Kada se to od vas zatraži, unesite svoje korisničke podatke za prijavu u Partner Hub, a zatim kliknite Prihvati za nastavak. Uvezite trenutnu konfiguracijsku ISO datoteku. Slijedite upute kako biste dovršili alat i preuzeli ažuriranu datoteku. Za zatvaranje alata za postavljanje upišite `CTRL+C`. Izradite sigurnosnu kopiju ažurirane datoteke u drugom podatkovnom centru.
2	Ako imate pokrenut samo jedan HDS čvor, stvorite novi virtualni stroj čvora Hybrid Data Security i registrirajte ga pomoću nove ISO datoteke konfiguracije. Za detaljnije upute pogledajte Stvaranje i registracija više čvorova. Instalirajte HDS host JAJAŠCA. Podesite HDS VM. Montirajte ažuriranu konfiguracijsku datoteku. Registrirajte novi čvor u Partner Hubu.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracijsku datoteku, postavite ISO datoteku. Izvedite sljedeći postupak na svakom čvoru redom, ažurirajući svaki čvor prije isključivanja sljedećeg čvora: Isključite virtualni stroj. U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke. Kliknite `CD/DVD Drive 1`, odaberite opciju montiranja iz ISO datoteke i pronađite lokaciju na koju ste preuzeli novu ISO datoteku konfiguracije. Provjerite Connect pri uključivanju. Uštedite na promjenama i napajanju na virtualnom stroju.
4	Ponovite korak 3 kako biste zamijenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.

Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.

Prije nego što počnete

Provjerite mogu li interni DNS poslužitelji razriješiti javne DNS nazive i mogu li čvorovi komunicirati s njima.

1	U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava.
2	Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da.
3	Idite na stranicu Spremište pouzdanosti i proxy poslužitelj.
4	Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne.

Što učiniti sljedeće

Ponovite test proxy veze na svakom čvoru u klasteru hibridne sigurnosti podataka.

Ukloni čvor

Pomoću ovog postupka uklonite čvor Hybrid Data Security iz Webex oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtualni stroj kako biste spriječili daljnji pristup svojim sigurnosnim podacima.

1

Pomoću VMware vSphere klijenta na računalu prijavite se na ESXi virtualni host i isključite virtualni stroj.

2

Uklonite čvor:

Prijavite se u Partner Hub, a zatim odaberite Usluge.
Na kartici Hibridna sigurnost podataka kliknite Prikaži sve za prikaz stranice Resursi hibridne sigurnosti podataka.
Odaberite svoj klaster za prikaz njegove ploče Pregled.
Kliknite na čvor koji želite ukloniti.
Kliknite Odregistriraj ovaj čvor na ploči koja se pojavljuje s desne strane
Također možete odjaviti čvor klikom na … s desne strane čvora i odabirom Ukloni ovaj čvor.

3

U vSphere klijentu izbrišite VM. (U lijevom navigacijskom oknu desnom tipkom miša kliknite VM i kliknite Izbriši.)

Ako ne izbrišete VM, ne zaboravite odmontirati ISO datoteku konfiguracije. Bez ISO datoteke ne možete koristiti virtualni stroj za pristup svojim sigurnosnim podacima.

Oporavak od katastrofe korištenjem rezervnog podatkovnog centra

Najvažnija usluga koju pruža vaš hibridni klaster sigurnosti podataka je stvaranje i pohrana ključeva koji se koriste za šifriranje poruka i ostalog sadržaja pohranjenog u Webex oblaku. Za svakog korisnika unutar organizacije koji je dodijeljen Hybrid Data Securityju, novi zahtjevi za stvaranje ključeva usmjeravaju se u klaster. Klaster je također odgovoran za vraćanje ključeva koje je stvorio svim korisnicima ovlaštenim za njihovo preuzimanje, na primjer, članovima prostora za razgovor.

Budući da klaster obavlja ključnu funkciju pružanja ovih ključeva, nužno je da klaster ostane u pogonu i da se održavaju odgovarajuće sigurnosne kopije. Gubitak baze podataka Hybrid Data Security ili konfiguracijskog ISO-a koji se koristi za shemu rezultirat će NEPOVRATNIM GUBITKOM korisničkog sadržaja. Sljedeće su prakse obvezne kako bi se spriječio takav gubitak:

Ako katastrofa uzrokuje nedostupnost HDS implementacije u primarnom podatkovnom centru, slijedite ovaj postupak za ručno prebacivanje na rezervni podatkovni centar.

Prije početka

Odregistrirajte sve čvorove iz Partner Huba kako je navedeno u Uklanjanje čvora. Za izvođenje postupka prebacivanja u slučaju kvara navedenog u nastavku upotrijebite najnoviju ISO datoteku koja je konfigurirana na čvorovima klastera koji je prethodno bio aktivan.

1	Pokrenite alat za postavljanje HDS-a i slijedite korake navedene u Izrada ISO datoteke konfiguracije za HDS hostove.
2	Dovršite postupak konfiguracije i spremite ISO datoteku na mjesto koje je lako pronaći.
3	Napravite sigurnosnu kopiju ISO datoteke na vašem lokalnom sustavu. Sigurnosnu kopiju čuvajte na sigurnom. Ova datoteka sadrži glavni ključ za šifriranje sadržaja baze podataka. Ograničite pristup samo na one administratore hibridne sigurnosti podataka koji bi trebali mijenjati konfiguraciju.
4	U lijevom navigacijskom oknu klijenta VMware vSphere kliknite desnom tipkom miša na VM i kliknite Uredi postavke.
5	Kliknite Uredi postavke >CD/DVD Pogon 1 i odaberite ISO datoteku spremišta podataka. Provjerite jesu li označeni Povezano i Poveži se pri uključivanju kako bi ažurirane promjene konfiguracije mogle stupiti na snagu nakon pokretanja čvorova.
6	Uključite HDS čvor i provjerite da nema alarma najmanje 15 minuta.
7	Registrirajte čvor u Partner Hubu. Pogledajte Registrirajte prvi čvor u klasteru.
8	Ponovite postupak za svaki čvor u rezervnom podatkovnom centru.

Što učiniti sljedeće

Nakon prebacivanja u drugi sustav, ako primarni podatkovni centar ponovno postane aktivan, odregistrirajte čvorove rezervnog podatkovnog centra i ponovite postupak konfiguriranja ISO-a i registracije čvorova primarnog podatkovnog centra kao što je gore navedeno.

(Neobavezno) Odmontirajte ISO nakon konfiguracije HDS-a

Standardna HDS konfiguracija radi s montiranom ISO karticom. No, neki korisnici radije ne ostavljaju ISO datoteke kontinuirano montirane. ISO datoteku možete odmontirati nakon što svi HDS čvorovi prihvate novu konfiguraciju.

I dalje koristite ISO datoteke za promjene konfiguracije. Kada stvarate novi ISO ili ažurirate ISO putem alata za postavljanje, morate montirati ažurirani ISO na sve svoje HDS čvorove. Nakon što svi vaši čvorovi prime promjene konfiguracije, možete ponovno odmontirati ISO datoteku ovim postupkom.

Prije početka

Nadogradite sve svoje HDS čvorove na verziju 2021.01.22.4720 ili noviju.

1	Isključite jedan od svojih HDS čvorova.
2	U vCenter Server Applianceu odaberite HDS čvor.
3	Odaberite Uredi postavke > CD/DVD pogon i poništite odabir ISO datoteka spremišta podataka.
4	Uključite HDS čvor i provjerite da nema alarma najmanje 20 minuta.
5	Ponovite redom za svaki HDS čvor.

Rješavanje problema hibridne sigurnosti podataka

Prikaz upozorenja i rješavanje problema

Implementacija hibridne sigurnosti podataka smatra se nedostupnom ako su svi čvorovi u klasteru nedostupni ili ako klaster radi toliko sporo da zahtijeva istek vremena. Ako korisnici ne mogu pristupiti vašem klasteru Hybrid Data Security, iskusit će sljedeće simptome:

Novi prostori se ne mogu stvoriti (ne mogu se stvoriti novi ključevi)
Poruke i nazivi prostora ne uspijevaju se dešifrirati za:
- Novi korisnici dodani u prostor (nije moguće dohvatiti ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu dohvatiti ključeve)
Postojeći korisnici u prostoru nastavit će uspješno funkcionirati sve dok njihovi klijenti imaju predmemoriju ključeva za šifriranje.

Važno je da pravilno pratite svoj hibridni klaster sigurnosti podataka i pravovremeno rješavate sva upozorenja kako biste izbjegli prekid usluge.

Upozorenja

Ako postoji problem s postavkama hibridne sigurnosti podataka, Partner Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfiguriranu adresu e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tablica 1. Uobičajeni problemi i koraci za njihovo rješavanje
Upozorenje	Radnja
Pristup lokalnoj bazi podataka nije uspjetio.	Provjerite ima li pogrešaka u bazi podataka ili problema s lokalnom mrežom.
Greška u povezivanju s lokalnom bazom podataka.	Provjerite je li poslužitelj baze podataka dostupan i jesu li u konfiguraciji čvora korišteni ispravni podaci za servisni račun.
Greška u pristupu usluzi u oblaku.	Provjerite mogu li čvorovi pristupiti Webex poslužiteljima kako je navedeno u Zahtjevi za vanjsku povezivost.
Obnova registracije usluge u oblaku.	Registracija za usluge u oblaku je odbačena. Obnova registracije je u tijeku.
Registracija usluge u oblaku je prekinuta.	Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.
Usluga još nije aktivirana.	Aktivirajte HDS u Partner Hubu.
Konfigurirana domena ne odgovara certifikatu poslužitelja.	Provjerite odgovara li certifikat vašeg poslužitelja konfiguriranoj domeni za aktivaciju usluge. Najvjerojatniji uzrok je taj što je CN certifikata nedavno promijenjen i sada se razlikuje od CN-a koji je korišten tijekom početne instalacije.
Autentifikacija za usluge u oblaku nije uspjela.	Provjerite točnost i mogući istek vjerodajnica servisnog računa.
Nije uspjelo otvaranje lokalne datoteke spremišta ključeva.	Provjerite integritet i točnost lozinke u lokalnoj datoteci spremišta ključeva.
Certifikat lokalnog poslužitelja nije važeći.	Provjerite datum isteka certifikata poslužitelja i potvrdite da ga je izdao pouzdani izdavatelj certifikata.
Nije moguće objaviti metrike.	Provjerite pristup lokalne mreže vanjskim uslugama u oblaku.
/media/configdrive/hds direktorij ne postoji.	Provjerite konfiguraciju montiranja ISO datoteke na virtualnom hostu. Provjerite postoji li ISO datoteka, je li konfigurirana za montiranje pri ponovnom pokretanju i je li se uspješno montirala.
Postavljanje organizacije zakupca nije dovršeno za dodane organizacije	Dovršite postavljanje stvaranjem CMK-ova za novododane organizacije stanara pomoću alata za postavljanje HDS-a.
Postavljanje organizacije zakupca nije dovršeno za uklonjene organizacije	Dovršite postavljanje opozivom CMK-ova organizacija stanara koji su uklonjeni pomoću alata za postavljanje HDS-a.

Rješavanje problema hibridne sigurnosti podataka

Prilikom rješavanja problema s hibridnom sigurnošću podataka koristite sljedeće opće smjernice.

1	Pregledajte Partner Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete. Za referencu pogledajte sliku ispod.
2	Pregledajte izlaz syslog poslužitelja za aktivnosti iz implementacije Hybrid Data Security. Filtrirajte riječi poput "Upozorenje" i "Pogreška" kako biste lakše riješili problem.
3	Kontaktirajte Cisco podršku.

Ostale bilješke

Poznati problemi za sigurnost hibridnih podataka

Ako isključite svoj klaster Hybrid Data Security (brisanjem u Partner Hubu ili isključivanjem svih čvorova), izgubite ISO datoteku konfiguracije ili izgubite pristup bazi podataka spremišta ključeva, korisnici Webex aplikacije korisničkih organizacija više ne mogu koristiti prostore na svom popisu Osobe koji su stvoreni ključevima iz vašeg KMS-a. Trenutno nemamo zaobilazno rješenje ili ispravak za ovaj problem i potičemo vas da ne isključujete svoje HDS usluge nakon što počnu obrađivati aktivne korisničke račune.
Klijent koji ima postojeću ECDH vezu s KMS-om održava tu vezu određeno vrijeme (vjerojatno jedan sat).

Pokrenite alat za postavljanje HDS-a pomoću Podman Desktopa

Podman je besplatni alat otvorenog koda za upravljanje kontejnerima koji omogućuje pokretanje, upravljanje i stvaranje kontejnera. Podman Desktop možete preuzeti s https://podman-desktop.io/downloads.

HDS Setup alat radi kao Docker spremnik na lokalnom stroju. Za pristup, preuzmite i pokrenite Podman na tom računalu. Za postupak postavljanja potrebne su vjerodajnice računa centra za kontrolu s punim administratorskim pravima za vašu tvrtku ili ustanovu.

Ako se alat za postavljanje HDS-a pokreće iza proxyja u vašem okruženju, navedite postavke proxyja (poslužitelj, port, vjerodajnice) putem Docker varijabli okruženja prilikom pokretanja Docker kontejnera u koraku 5. Ova tablica daje neke moguće varijable okoliša:

Opis	Varijabla
HTTP proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez provjere autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s provjerom autentičnosti	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska ISO datoteka koju generirate sadrži glavni ključ koji šifrira PostgreSQL ili Microsoft SQL Server bazu podataka. Trebate najnoviju kopiju ove datoteke svaki put kada mijenjate konfiguraciju, poput ovih:
- Vjerodajnice baze podataka
- Ažuriranja certifikata
- Promjene u pravilima autorizacije
Ako planirate šifrirati veze s bazom podataka, postavite implementaciju PostgreSQL-a ili SQL Servera za TLS.

Postupak postavljanja Hybrid Data Security stvara ISO datoteku. Zatim koristite ISO za konfiguriranje vašeg Hybrid Data Security hosta.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Što učiniti sljedeće

Slijedite preostale korake u Izradite ISO konfiguraciju za HDS hostove ili Promijenite konfiguraciju čvora za izradu ili promjenu ISO konfiguracije.

Premjestite postojeću implementaciju HDS-a za jednog zakupca partnerske organizacije u Control Hubu u postavku HDS-a za više zakupaca u Partner Hubu

Konverzija iz postojećeg HDS implementacije s jednim zakupcem partnerske organizacije kojom se upravlja u Control Hubu u HDS implementaciju s više zakupaca kojom se upravlja u Partner Hubu prvenstveno uključuje deaktivaciju HDS usluge u Control Hubu, odjavu čvorova i brisanje klastera. Zatim se možete prijaviti u Partner Hub, registrirati čvorove, aktivirati Multi-Tenant HDS i dodati korisnike u svoj klaster.

Izraz "jednostruki stanar" jednostavno se odnosi na postojeće HDS raspoređivanje u Control Hubu.

Deaktivirajte HDS, odjavite čvorove i izbrišite klaster u Control Hubu

1	Prijavite se u Kontrolni centar. U lijevom oknu kliknite Hibrid. Na kartici Hibridna sigurnost podataka kliknite Uredi postavke.
2	Na stranici postavki pomaknite se prema dolje do odjeljka Deaktiviraj i kliknite Deaktiviraj.
3	Nakon deaktivacije kliknite na karticu Resursi.
4	Stranica Resursi navodi klastere u vašem HDS implementaciji. Klikom na klaster otvara se stranica sa svim čvorovima unutar tog klastera.
5	Kliknite ... s desne strane i kliknite Odregistriraj čvor. Ponovite postupak za sve čvorove u klasteru.
6	Ako vaša implementacija ima više klastera, ponovite korak 4 i korak 5 dok se svi čvorovi ne odregistriraju.
7	Kliknite Postavke klastera > Ukloni.
8	Kliknite Potvrdi uklanjanje za odjavu klastera.
9	Ponovite postupak za sve klastere u vašem HDS implementaciji. Nakon deaktivacije HDS-a, odjave čvorova i uklanjanja klastera, kartica Hybrid Data Service na Control Hubu će na dnu imati prikazano Postavljanje nije dovršeno.

Aktivirajte Multi-Tenant HDS za partnersku organizaciju na Partner Hubu i dodajte korisnike

Prije početka

Svi preduvjeti navedeni u Zahtjevi za sigurnost podataka hibridnih sustava s više zakupaca primjenjuju se ovdje. Osim toga, osigurajte da se ista baza podataka i certifikati koriste tijekom prelaska na Multi-Tenant HDS.

1	Prijava u Partnerski centar. Kliknite Usluge u lijevom oknu. Za konfiguraciju čvorova koristite isti ISO iz prethodnog HDS implementacije. To će osigurati da su poruke i sadržaj koji su generirali korisnici u prethodnom postojećem HDS raspoređivanju i dalje dostupni u novoj postavci za više zakupaca.
2	U odjeljku Usluge u oblaku pronađite karticu Hibridna sigurnost podataka i kliknite Postavi.
3	Na stranici koja se otvori kliknite Dodaj resurs.
4	U prvo polje kartice Dodaj čvor unesite naziv klastera kojem želite dodijeliti svoj čvor Hybrid Data Security. Preporučujemo da klaster imenujete na temelju geografske lokacije čvorova klastera. Primjeri: "San Francisco" ili "New York" ili "Dallas"
5	U drugo polje unesite internu IP adresu ili potpuno kvalificirani naziv domene (FQDN) vašeg čvora i kliknite Dodaj pri dnu zaslona. Ova IP adresa ili FQDN trebaju odgovarati IP adresi ili nazivu hosta i domeni koju ste koristili u Postavljanje virtualnog stroja za sigurnost hibridnih podataka. Pojavljuje se poruka koja označava da možete registrirati svoj čvor na Webexu.
6	Kliknite Idi na čvor. Nakon nekoliko trenutaka bit ćete preusmjereni na testove povezivosti čvorova za Webex usluge. Ako su svi testovi uspješni, pojavljuje se stranica Dopusti pristup hibridnom čvoru sigurnosti podataka. Tamo potvrđujete da želite dati dopuštenja svojoj Webex organizaciji za pristup vašem čvoru.
7	Označite potvrdni okvir Dopusti pristup vašem hibridnom čvoru sigurnosti podataka, a zatim kliknite Nastavi. Vaš je račun potvrđen, a poruka "Registracija dovršena" označava da je vaš čvor sada registriran u Webex oblaku. Na stranici Hibridna sigurnost podataka, novi klaster koji sadrži čvor koji ste registrirali prikazuje se pod karticom Resursi. Čvor će automatski preuzeti najnoviji softver iz oblaka.
8	Idite na karticu Postavke i kliknite Aktiviraj na kartici Status HDS-a. PorukaAktiviran HDS pojavit će se na dnu zaslona.
9	U odjeljku Resursikliknite na novostvoreni klaster.
10	Na stranici koja se otvori kliknite karticu Dodijeljeni korisnici.
11	Kliknite Dodaj korisnike.
12	Iz padajućeg izbornika odaberite kupca kojeg želite dodati.
13	Kliknite Dodaj, korisnik će biti dodan u klaster.
14	Ponovite korake od 11 do 13 da biste dodali više korisnika u svoj klaster.
15	Kliknite Gotovo na dnu zaslona nakon što ste dodali kupce.

Što učiniti sljedeće

Pokrenite alat za postavljanje HDS-a kako je detaljno opisano u Stvaranje glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a za dovršetak postupka postavljanja.

Korištenje OpenSSL-a za generiranje PKCS12 datoteke

Prije početka

OpenSSL je jedan alat koji se može koristiti za izradu PKCS12 datoteke u ispravnom formatu za učitavanje u HDS Setup Tool. Postoje i drugi načini za to, a mi ne podržavamo niti promoviramo jedan način u odnosu na drugi.
Ako se odlučite koristiti OpenSSL, ovaj postupak pružamo kao smjernice koje će vam pomoći u stvaranju datoteke koja zadovoljava zahtjeve X.509 certifikata u X.509 Zahtjevi za certifikat. Razumite te zahtjeve prije nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org za softver i dokumentaciju.
Izradite privatni ključ.
Započnite ovaj postupak kada primite certifikat poslužitelja od svog izdavatelja certifikata (CA).

1	Kada primite certifikat poslužitelja od svog CA, spremite ga kao `hdsnode.pem`.
2	Prikažite certifikat kao tekst i provjerite detalje. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomoću uređivača teksta stvorite datoteku paketa certifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora sadržavati certifikat poslužitelja, sve posredne CA certifikate i korijenske CA certifikate u sljedećem formatu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Izradite .p12 datoteku s prijateljskim nazivom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Provjerite detalje certifikata poslužitelja. `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifriranje privatnog ključa tako da bude navedena u izlazu. Zatim provjerite sadrže li privatni ključ i prvi certifikat retke `friendlyName: kms-private-key`. Primjer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Što učiniti sljedeće

Povratak na Ispunite preduvjete za hibridnu sigurnost podataka. Datoteku hdsnode.p12 i lozinku koju ste za nju postavili koristit ćete u Izradite ISO konfiguraciju za HDS hostove.

Ove datoteke možete ponovno upotrijebiti za zahtjev novog certifikata kada istekne originalni certifikat.

Promet između HDS čvorova i oblaka

Promet prikupljanja izlaznih metrika

Čvorovi hibridne sigurnosti podataka šalju određene metrike u Webex oblak. To uključuje sistemske metrike za maksimalnu memoriju (heap), korištenu memoriju (heap), opterećenje procesora (CPU) i broj niti; metrike o sinkronim i asinkronim nitima; metrike o upozorenjima koja uključuju prag šifriranih veza, latenciju ili duljinu reda čekanja zahtjeva; metrike o spremištu podataka; i metrike šifriranih veza. Čvorovi šalju šifrirani ključni materijal putem izvanpojasnog (odvojenog od zahtjeva) kanala.

Dolazni promet

Čvorovi hibridne sigurnosti podataka primaju sljedeće vrste dolaznog prometa iz Webex oblaka:

Zahtjevi za šifriranje od klijenata, koje usmjerava usluga šifriranja
Nadogradnje softvera čvora

Konfigurirajte Squid proxyje za hibridnu sigurnost podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Squid proxyji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocket (wss:) veza koje zahtijeva Hybrid Data Security. Ovi odjeljci daju smjernice o tome kako konfigurirati različite verzije Squida da ignoriraju wss: promet radi ispravnog rada usluga.

Lignje 4 i 5

Dodajte direktivu on_unsupported_protocol u squid.conf:

on_unsupported_protocol tunnel all

Lignje 3.5.27

Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim u squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Hvala na povratnim informacijama.

Vodič za implementaciju hibridne sigurnosti podataka za više korisnika (HDS) (Beta)

Novi i promijenjeni podaci

Novi i promijenjeni podaci

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Uloge u hibridnoj zaštiti podataka s više klijenata

Arhitektura sigurnosnog područja

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne zaštite podataka

Postupak postavljanja na visokoj razini

Model implementacije hibridne zaštite podataka

Podatkovni centar u pripravnosti za oporavak od katastrofa

Podrška za proxy poslužitelje

Primjer hibridnih čvorova i proxyja za sigurnost podataka

Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)

Priprema okruženja

Zahtjevi za sigurnost hibridnih podataka s više klijenata

Preduvjeti za licencu Cisco Webex

Preduvjeti za radnu površinu

Zahtjevi za X.509 certifikat

Zahtjevi virtualnog organizatora

Preduvjeti poslužitelja baze podataka

Dodatni zahtjevi za Windows provjeru autentičnosti za Microsoft SQL Server

Zahtjevi za vanjsku povezivost

Preduvjeti proxy poslužitelja

Dovrši preduvjete za sigurnost hibridnih podataka

Postavljanje klastera hibridne zaštite podataka

Tijek zadatka implementacije hibridne zaštite podataka

Izvršite početno postavljanje i preuzmite instalacijske datoteke

Izradite ISO konfiguraciju za HDS organizatore

Instalirajte OVA organizatora za HDS

Postavljanje VM hibridne zaštite podataka

Prijenos i postavljanje ISO HDS konfiguracije

Konfiguriranje HDS čvora za integraciju proxy poslužitelja

Registrirajte prvi čvor u klasteru

Izradite i registrirajte više čvorova

Upravljanje organizacijama klijenata u hibridnoj zaštiti podataka s više klijenata

Aktivirajte HDS za više klijenata na Čvorištu partnera

Dodavanje organizacija klijenta u Čvorište partnera

Izrada glavnih ključeva korisnika (CMK) pomoću alata za postavljanje HDS-a

Ukloni organizacije klijenta

Povucite CMK-ove klijenata uklonjene iz HDS-a.

Testiranje implementacije hibridne zaštite podataka

Testiranje implementacije hibridne zaštite podataka

Praćenje stanja hibridne zaštite podataka

Upravljajte svojom HDS implementacijom

Upravljanje HDS implementacijom

Postavljanje rasporeda nadogradnje klastera

Promjena konfiguracije čvora

Isključivanje blokiranog načina vanjske razlučivosti DNS-a

Ukloni čvor

Oporavak od katastrofa pomoću podatkovnog centra u pripravnosti

(Neobavezno) Ukloni ISO nakon HDS konfiguracije

Rješavanje problema sigurnosti hibridnih podataka

Prikaz upozorenja i rješavanje problema

Upozorenja

Rješavanje problema sigurnosti hibridnih podataka

Ostale napomene

Poznati problemi za sigurnost hibridnih podataka

Upotrijebite OpenSSL za generiranje PKCS12 datoteke

Promet između HDS čvorova i oblaka

Promet prikupljanja izlazne metrike

Dolazni promet

Konfiguriranje proxyja lignji za sigurnost hibridnih podataka

Websocket se ne može povezati putem proxy poslužitelja lignji

Novi i promijenjeni podaci

Novi i promijenjeni podaci

Deaktiviraj sigurnost hibridnih podataka za više klijenata

Tijek zadatka deaktivacije HDS-a za više klijenata

Početak rada uz hibridnu zaštitu podataka za više klijenata

Pregled sigurnosti hibridnih podataka za više klijenata

Kako hibridna zaštita podataka s više klijenata osigurava suverenitet podataka i kontrolu podataka

Uloge u hibridnoj zaštiti podataka s više klijenata

Arhitektura sigurnosnog područja

Suradnja s drugim organizacijama

Očekivanja za implementaciju hibridne zaštite podataka