- Kezdőlap
- /
- Cikk
Új és módosított információk
Dátum | Végrehajtott módosítások | ||
---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
2019. március 6 |
| ||
2019. február 28. |
| ||
2019. február 26. |
| ||
2019. január 24 |
| ||
2018. november 5 |
| ||
2018. október 19 |
| ||
2018. július 31 |
| ||
2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
2018. április 11 |
| ||
2018. február 22 |
| ||
2018. február 15. |
| ||
2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode
az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode
konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode
konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.com
ésciscospark.com
megoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:
| ||||||||||||
3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:
| ||||||||||||
4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:
| ||||||||||||
15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget .A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
1 | Töltse fel az ISO fájlt a számítógépéről: |
2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
1 | Adja meg a HDS-csomópont-beállítási URL -címet |
2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
1 | Jelentkezzen be ide: https://admin.webex.com. |
2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
7 | Kattintson Lépjen a Node-ra . |
8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
5 | |
6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup
csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
2 | Üzenetek küldése az új szobába. | ||
3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup
; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
1 | Jelentkezzen be ide: Control Hub . |
2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt. |
2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . |
3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: |
4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
2 | Csomópont eltávolítása: |
3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
1 | Állítsa le az egyik HDS-csomópontot. |
2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
3 | Válasszon Datastore ISO fájl . és törölje a kijelölést |
4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12
fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:
) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss:
a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol
utasítást squid.conf
:
on_unsupported_protocol tunnel all
Tintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf
. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Új és módosított információk
Dátum | Végrehajtott módosítások | ||
---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
2019. március 6 |
| ||
2019. február 28. |
| ||
2019. február 26. |
| ||
2019. január 24 |
| ||
2018. november 5 |
| ||
2018. október 19 |
| ||
2018. július 31 |
| ||
2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
2018. április 11 |
| ||
2018. február 22 |
| ||
2018. február 15. |
| ||
2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode
az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode
konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode
konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.com
ésciscospark.com
megoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:
| ||||||||||||
3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:
| ||||||||||||
4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:
| ||||||||||||
15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget .A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
1 | Töltse fel az ISO fájlt a számítógépéről: |
2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
1 | Adja meg a HDS-csomópont-beállítási URL -címet |
2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
1 | Jelentkezzen be ide: https://admin.webex.com. |
2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
7 | Kattintson Lépjen a Node-ra . |
8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
5 | |
6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup
csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
2 | Üzenetek küldése az új szobába. | ||
3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup
; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
1 | Jelentkezzen be ide: Control Hub . |
2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt. |
2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . |
3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: |
4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
2 | Csomópont eltávolítása: |
3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
1 | Állítsa le az egyik HDS-csomópontot. |
2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
3 | Válasszon Datastore ISO fájl . és törölje a kijelölést |
4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12
fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:
) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss:
a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol
utasítást squid.conf
:
on_unsupported_protocol tunnel all
Tintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf
. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Új és módosított információk
Dátum | Végrehajtott módosítások | ||
---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
2019. március 6 |
| ||
2019. február 28. |
| ||
2019. február 26. |
| ||
2019. január 24 |
| ||
2018. november 5 |
| ||
2018. október 19 |
| ||
2018. július 31 |
| ||
2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
2018. április 11 |
| ||
2018. február 22 |
| ||
2018. február 15. |
| ||
2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode
az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode
konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode
konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.com
ésciscospark.com
megoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:
| ||||||||||||
3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:
| ||||||||||||
4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:
| ||||||||||||
15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget .A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
1 | Töltse fel az ISO fájlt a számítógépéről: |
2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
1 | Adja meg a HDS-csomópont-beállítási URL -címet |
2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
1 | Jelentkezzen be ide: https://admin.webex.com. |
2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
7 | Kattintson Lépjen a Node-ra . |
8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
5 | |
6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup
csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
2 | Üzenetek küldése az új szobába. | ||
3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup
; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
1 | Jelentkezzen be ide: Control Hub . |
2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt. |
2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . |
3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: |
4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
2 | Csomópont eltávolítása: |
3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
1 | Állítsa le az egyik HDS-csomópontot. |
2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
3 | Válasszon Datastore ISO fájl . és törölje a kijelölést |
4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12
fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:
) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss:
a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol
utasítást squid.conf
:
on_unsupported_protocol tunnel all
Tintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf
. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Új és módosított információk
Dátum | Végrehajtott módosítások | ||
---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
2019. március 6 |
| ||
2019. február 28. |
| ||
2019. február 26. |
| ||
2019. január 24 |
| ||
2018. november 5 |
| ||
2018. október 19 |
| ||
2018. július 31 |
| ||
2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
2018. április 11 |
| ||
2018. február 22 |
| ||
2018. február 15. |
| ||
2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode
az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode
konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode
konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.com
ésciscospark.com
megoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:
| ||||||||||||
3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:
| ||||||||||||
4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben:
FedRAMP-környezetekben:
| ||||||||||||
5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:
| ||||||||||||
15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget .A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
1 | Töltse fel az ISO fájlt a számítógépéről: |
2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
1 | Adja meg a HDS-csomópont-beállítási URL -címet |
2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra |