- Kezdőlap
- /
- Cikk
Köszönjük visszajelzését.
A Webex hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatója
Ebben a cikkben
Visszajelzés?Új és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
 | A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
|
Dátum |
Végrehajtott módosítások | ||
|---|---|---|---|
|
2023. október 20 |
| ||
|
2023. augusztus 07 |
| ||
|
2023. május 23 |
| ||
|
2022. december 06 |
| ||
|
2022. november 23 |
| ||
|
2021. október 13. |
A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
|
Június 24, 2021 |
Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. |
Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
|
2021. február 24. |
A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
|
2021. február 2. |
A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
|
2021. január 11 |
További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
|
Október 13, 2020 |
Frissítve Telepítési fájlok letöltése . | ||
|
2020. október 8. |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
|
14. augusztus 2020. |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
|
2020. augusztus 5 |
Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
|
2020. június 16 |
Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
|
2020. június 4 |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
|
2020. május 29 |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
|
2020. május 5 |
Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
|
2020. április 21. |
Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
|
2020. április 1. |
Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| Február 20, 2020 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 12. | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19. |
A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
|
2019. november 8. |
Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
|
2019. szeptember 6. |
SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20. |
Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
|
2019. január 24. |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
|
2018. július 31 |
| ||
| 2018. május 21. |
Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22. |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
|
2017. november 2 |
| ||
|
2017. augusztus 18 |
Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
-
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
-
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
-
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
-
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
-
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
-
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
-
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
-
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
-
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
-
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
-
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
-
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 |
Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 |
A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 |
A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 |
Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 |
Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 |
A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 |
Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 |
Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.
A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:
-
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítványfrissítésre.
-
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítványfrissítésre.
-
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
-
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
-
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
-
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
-
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
-
HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
-
HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
-
-
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
-
Egyik sem — Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
-
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
-
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
-
-
Példa hibrid adatbiztonsági csomópontokra és proxykra
Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.
Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
-
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
|
Követelmény |
részletei |
|---|---|
|
Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
|
A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
|
A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
|
A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
-
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
-
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
-
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC illesztőprogram 42.2.5 |
SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
-
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
-
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
-
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
-
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
|
Alkalmazás |
Protokoll |
Port |
Útvonal az alkalmazásból |
Cél |
|---|---|---|---|---|
|
Hibrid adatbiztonsági csomópontok |
TCP |
443 |
Kimenő HTTPS és WSS |
|
|
HDS beállító eszköz |
TCP |
443 |
Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
|
Régió |
Common Identity Host URL-ek |
|---|---|
|
Amerika |
|
|
Európai Unió |
|
|
Kanada |
|
Proxykiszolgálói követelmények
-
Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
-
Átlátszó proxy – Cisco Web Security Appliance (WSA).
-
Explicit proxy – tintahal.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
-
-
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
-
Nincs hitelesítés HTTP-vel vagy HTTPS-rel
-
Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
-
Hitelesítés megemésztése csak HTTPS-rel
-
-
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
-
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
-
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése)
wbx2.com és ciscospark.com megoldja aproblémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 |
Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 |
Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 |
Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 |
Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 |
A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 |
Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 |
Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 |
Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 |
A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel:http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 |
Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 |
Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 |
Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 |
Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 |
A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 |
Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 |
További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 |
Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 |
Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 |
Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 |
Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
-
A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót tartalmaz:
Leírás
Változó
Http-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORTHttp-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORTHTTPS-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT -
Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
-
Adatbázis hitelesítő adatok
-
Tanúsítványfrissítések
-
Az engedélyezési házirend változásai
-
-
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 |
A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: FedRAMP környezetben:
| ||||||||||||
| 2 |
A Docker-képtárba való bejelentkezéshez írja be a következőket: | ||||||||||||
| 3 |
A jelszókéréskor írja be ezt a hash-t: | ||||||||||||
| 4 |
Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: FedRAMP környezetben: | ||||||||||||
| 5 |
Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot." | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 |
Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 |
A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 |
A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 |
Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 |
Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 |
Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 |
A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 |
(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 |
Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 |
Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 |
Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 |
A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 |
A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 |
Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 |
A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 |
A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 |
A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 |
Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 |
Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 |
A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 |
A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 |
A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 |
Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 |
A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 |
Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 |
Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 |
Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 |
(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 |
Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 |
Töltse fel az ISO fájlt a számítógépéről: |
| 2 |
Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
A HDS-csomópont konfigurálása proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.
| 1 |
Adja meg a HDS-csomópont beállítási |
| 2 |
Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:
Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit. |
| 3 |
Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt. |
| 4 |
Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 |
A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez. |
| 6 |
Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 |
A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
-
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
-
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 |
Jelentkezzen be ide: https://admin.webex.com. |
| 2 |
A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 |
Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 |
Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 |
A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 |
Kattintson Lépjen a Node-ra . |
| 8 |
Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 |
Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 |
Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
-
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
-
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 |
Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 |
Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 |
Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 |
Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 |
Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 |
Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 |
Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 |
A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 |
Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 |
Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 |
Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
-
Állítsa be a Hybrid Data Security telepítését.
-
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
-
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 |
Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 |
Üzenetek küldése az új szobába. | ||
| 3 |
Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 |
Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 |
Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup ; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 |
Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 |
Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra . |
Áthelyezés próbaidőszakról élesre
| 1 |
Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 |
Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 |
Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 |
Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 |
Jelentkezzen be a Control Hubba. |
| 2 |
Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 |
A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 |
A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 |
A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
-
Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.
Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
-
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.
Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
-
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
-
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
-
Hard reset — A régi jelszavak azonnal leállnak.
Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.
Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.
Mielőtt elkezdené
-
A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót tartalmaz:
Leírás
Változó
Http-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORTHttp-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORTHTTPS-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT -
Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.
| 1 |
A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.
| ||||||
| 2 |
Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 |
A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 |
Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton. |
A blokkolt külső DNS-feloldási mód kikapcsolása
Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.
Mielőtt elkezdené
| 1 |
Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra. |
| 2 |
Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva. |
| 3 |
Lépjen a Megbízhatósági áruház és proxy oldalra. |
| 4 |
Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani. |
Mi a következő lépés
Csomópont eltávolítása
| 1 |
A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 |
Csomópont eltávolítása: |
| 3 |
A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 |
Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 |
A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 |
A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 |
Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 |
Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 |
A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 |
Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 |
Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 |
Állítsa le az egyik HDS-csomópontot. |
| 2 |
A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 |
Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 |
Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
-
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
-
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
-
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
-
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
-
-
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
|
Riasztás |
Művelet |
|---|---|
|
Helyi adatbázis-hozzáférés sikertelen. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
|
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
|
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
|
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
|
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
|
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
|
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
|
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
|
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
|
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
|
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
|
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 |
Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 |
Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 |
Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
-
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
-
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
-
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
-
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
-
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
-
Hozzon létre egy privát kulcsot.
-
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 |
Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 |
Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 |
Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 |
Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 |
Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
-
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
-
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud tintahal-proxyn keresztül csatlakozni
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss: ) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Tintahal 4 és 5
Adja hozzá aon_unsupported_protocol utasítást squid.conf :
on_unsupported_protocol alagút mindenTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.
acl wssMercuryConnection ssl::server_name_regex higany-kapcsolatssl_bump wssMercuryConnection acl illesztése 1. lépésat_step SslBump1 acl 2. lépésat_step SslBump2 acl 3. lépésat_step SslBump3ssl_bump peek 1. lépés mindenssl_bump stare step2 allssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Egyik sem — Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel sok explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be a Control Hub szolgáltatásba. |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allElőszó
Új és módosított információk
|
Dátum |
Módosítások |
|---|---|
|
2023. október 20. |
|
|
2023. augusztus 7. |
|
|
2023. május 23. |
|
|
2022. december 6. |
|
|
2022. november 23. |
|
|
2021. október 13. |
A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények. |
|
Június 24, 2021 |
Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben. |
| 2021. április 30. |
Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben. |
|
2021. február 24. |
A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben. |
|
2021. február 2. |
A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után . |
|
2021. január 11. |
A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra. |
|
Október 13, 2020 |
Frissített Telepítési fájlok letöltése. |
|
2020. október 8. |
Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal. |
|
14. augusztus 2020. |
Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival. |
|
2020. augusztus 5 |
Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan. Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében. |
|
2020. június 16 |
Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához. |
|
2020. június 4 |
Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához. |
|
2020. május 29 |
Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. |
|
2020. május 5 |
Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez. |
|
2020. április 21. |
Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal. |
|
2020. április 1. |
Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal. |
| Február 20, 2020 | Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal. |
| 2020. február 12. | Frissített proxykiszolgáló-követelmények. |
| 2019. december 16. | Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben. |
| 2019. november 19. |
A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra: |
|
2019. november 8. |
Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz. A következő szakaszokat ennek megfelelően frissítették: Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el. |
|
2019. szeptember 6. |
SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez. |
| 2019. augusztus 29. | Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében. |
| 2019. augusztus 20. |
A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre. Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket. |
| 2019. június 13. | Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ. |
| 2019. március 6. |
|
| 2019. február 28. |
|
| 2019. február 26. |
|
|
2019. január 24. |
|
| 2018. november 5. |
|
| 2018. október 19. |
|
|
2018. július 31. |
|
| 2018. május 21. |
Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
|
| 2018. április 11. |
|
| 2018. február 22. |
|
| 2018. február 15. |
|
| 2018. január 18. |
|
|
2017. november 2. |
|
|
2017. augusztus 18. |
Először közzétéve |
Első lépések a hibrid adatbiztonsági szolgáltatással
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.
Biztonsági tartomány architektúrája
A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.
A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.
Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:
-
Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
-
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
-
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
-
A titkosított üzenet a tárhely tartományában tárolódik.
A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-es tanúsítvány előállításával kapcsolatos részletekért lásd: Környezet előkészítése .
Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban
A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.
A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:
-
Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
-
A(z) részben megadott berendezések, szoftverek és hálózati hozzáférés.
A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:
-
Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
-
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.
HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.
Magas szintű beállítási folyamat
Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:
Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.
A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.
-
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.
-
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.
Hibrid adatbiztonsági szolgáltatás telepítési modellje
A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.
A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)
Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)
A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.
A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.
Szervezetenként csak egy fürtöt támogatunk.
A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja
A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.
Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.
Készenléti adatközpont a katasztrófa-helyreállításhoz
A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.
Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.
Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz
A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:
Mielőtt elkezdené
-
A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)
-
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 |
Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket. Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni. |
| 2 |
A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre |
| 3 |
A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.
|
| 4 |
Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre. |
| 5 |
Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk. |
| 6 |
A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. |
| 7 |
Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek. |
| 8 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás. |
| 9 |
Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban. Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban. |
Mi a következő teendő
Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.
Proxy támogatás
A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.
A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:
-
Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
-
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
-
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
-
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
-
Proxy IP/FQDN – a proxygép elérésére használható cím.
-
Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
-
Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
-
HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
-
HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
-
-
Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
-
Nincs – Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
-
Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
-
Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
-
-
Példa hibrid adatbiztonsági csomópontokra és proxykra
Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.
Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.
Készítse fel környezetét
A hibrid adatbiztonságra vonatkozó követelmények
Cisco Webex licenckövetelmények
A hibrid adatbiztonsági szolgáltatás telepítéséhez:
-
Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".
X.509 tanúsítványkövetelmények
A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:
|
Követelmény |
részletei |
|---|---|
|
Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs. |
|
A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható. |
|
A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez. |
|
A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.
Virtuális szervezőre vonatkozó követelmények
A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:
-
Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
-
A VMware ESXi 6.5 (vagy újabb) telepítve és fut.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
-
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként
Adatbázis-kiszolgáló követelmények
Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.
Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:
|
PostgreSQL csevegés |
Microsoft SQL kiszolgáló |
|---|---|
|
|
|
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:
|
PostgreSQL csevegés |
Microsoft SQL kiszolgáló |
|---|---|
|
Postgres JDBC illesztőprogram 42.2.5 |
SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást. |
A Microsoft SQL Server elleni Windows-hitelesítés további követelményei
Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:
-
A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
-
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
-
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
-
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.
A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.
Külső kapcsolódási követelmények
Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:
|
Alkalmazás |
Protokoll |
Port |
Irány az alkalmazásból |
Cél |
|---|---|---|---|---|
|
Hibrid adatbiztonsági szolgáltatás-csomópontok |
TCP |
443 |
Kimenő HTTPS és WSS |
|
|
HDS-beállító eszköz |
TCP |
443 |
Kimenő HTTPS |
|
A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.
A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:
|
Régió |
Common Identity Host URL-címek |
|---|---|
|
Amerika |
|
|
Európai Unió |
|
|
Kanada |
|
Proxykiszolgálói követelmények
-
Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
-
Átlátszó proxy – Cisco Web Security Appliance (WSA).
-
Explicit proxy – tintahal.
A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
-
-
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
-
Nincs hitelesítés HTTP-vel vagy HTTPS-rel
-
Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
-
Hitelesítés megemésztése csak HTTPS-rel
-
-
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
-
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
-
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése)
wbx2.com és ciscospark.com megoldja aproblémát.
A hibrid adatbiztonság előfeltételeinek teljesítése
| 1 |
Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. |
| 2 |
Válasszon ki egy tartománynevet a HDS telepítéséhez (például |
| 3 |
Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek. |
| 4 |
Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. |
| 5 |
A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. |
| 6 |
Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514). |
| 7 |
Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel. |
| 8 |
Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint. |
| 9 |
Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint. |
| 10 |
Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek. |
| 11 |
Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait. |
Hibrid adatbiztonsági szolgáltatás-fürt beállítása
Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama
Mielőtt elkezdené
| 1 |
Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra. |
| 2 |
Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz. |
| 3 |
Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el. |
| 4 |
Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat. |
| 5 |
A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból. |
| 6 |
A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. |
| 7 |
A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként. |
| 8 |
További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. |
| 9 |
Próbaverzió futtatása és váltás a produkcióra (következő fejezet) Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 |
Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre. |
| 2 |
A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre. Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre. Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. |
| 3 |
Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
|
| 4 |
Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója. |
Konfigurációs ISO létrehozása a HDS szervezők számára
A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.
Mielőtt elkezdené
-
A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:
Leírás
Változó
Http-proxy hitelesítés nélkül
Globális_ügynök_http: / /www.php.net_Proxy=http://KISZOLGÁLÓ_ip:portHTTPS-proxy hitelesítés nélkül
GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORTHttp-proxy hitelesítéssel
GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORTHTTPS-proxy hitelesítéssel
GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT -
A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
-
Adatbázis hitelesítő adatai
-
Tanúsítványfrissítések
-
Az engedélyezési szabályzat változásai
-
-
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.
| 1 |
A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: FedRAMP környezetben: Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. | ||||||||||
| 2 |
A Docker-képtárba való bejelentkezéshez írja be a következőket: | ||||||||||
| 3 |
A jelszókéréskor írja be ezt a hash-t: | ||||||||||
| 4 |
Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: FedRAMP környezetben: | ||||||||||
| 5 |
Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot." | ||||||||||
| 6 |
A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet. | ||||||||||
| 7 |
Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz. | ||||||||||
| 8 |
A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra. | ||||||||||
| 9 |
Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:
| ||||||||||
| 10 |
Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.
| ||||||||||
| 11 |
Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez: | ||||||||||
| 12 |
Válassza ki a TLS-adatbázis csatlakozási módját:
Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.) | ||||||||||
| 13 |
A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót: | ||||||||||
| 14 |
(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni: | ||||||||||
| 15 |
Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn. A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat. | ||||||||||
| 16 |
Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre. | ||||||||||
| 17 |
Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk. | ||||||||||
| 18 |
A beállítóeszköz leállításához gépelje be a |
Mi a következő teendő
Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.
Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.
A HDS Host OVA telepítése
| 1 |
A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba. |
| 2 |
Válassza a Fájl > OVF-sablon telepítése lehetőséget. |
| 3 |
A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra. |
| 4 |
A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra. |
| 5 |
A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai. |
| 6 |
Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra. |
| 7 |
Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra. |
| 8 |
A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához. |
| 9 |
A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel. |
| 10 |
A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:
Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el. |
| 11 |
Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni. |
Hibrid adatbiztonsági szolgáltatás (VM) beállítása
Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.
| 1 |
A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
|
| 2 |
A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát. |
| 3 |
Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget. |
| 4 |
Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. |
| 5 |
(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. |
| 6 |
Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek. |
A HDS-konfigurációs ISO feltöltése és csatlakoztatása
Mielőtt elkezdené
Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.
| 1 |
Töltse fel az ISO-fájlt a számítógépéről: |
| 2 |
ISO- fájl csatolása: |
Mi a következő teendő
Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .
A HDS-csomópont konfigurálása proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.
| 1 |
Adja meg a HDS-csomópont beállítási |
| 2 |
Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:
Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit. |
| 3 |
Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt. |
| 4 |
Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt. |
| 5 |
A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez. |
| 6 |
Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 |
A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn. |
A fürtben lévő első csomópont regisztrálása
Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.
Mielőtt elkezdené
-
Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
-
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.
| 1 |
Jelentkezzen be ide: https://admin.webex.com. |
| 2 |
A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget. |
| 3 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre. Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
|
| 4 |
Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra. |
| 5 |
Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas" |
| 6 |
A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
|
| 7 |
Kattintson az Ugrás a csomópontra lehetőségre. |
| 8 |
Kattintson a Folytatás gombra a figyelmeztető üzenetben. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
|
| 9 |
Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
|
| 10 |
Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.
Mielőtt elkezdené
-
Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
-
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.
| 1 |
Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit. |
| 2 |
Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit. |
| 3 |
Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit. |
| 4 |
Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint. |
| 5 |
Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
Próbaverzió futtatása és váltás a produkcióra
Próbaidőszak–éles munkafolyamat
Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.
Mielőtt elkezdené
| 1 |
Ha szükséges, szinkronizálja a Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a |
| 2 |
Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 |
A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre. |
| 4 |
Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 |
Fejezze be a próbaidőszakot az alábbi műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.
| 1 |
Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget. |
| 2 |
A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre. |
| 3 |
A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre. A szolgáltatás állapota próbaidőszak módra változik.
|
| 4 |
Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a |
A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése
Mielőtt elkezdené
-
Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.
-
Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.
-
Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.
| 1 |
Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót. Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait. |
| 2 |
Üzenetek küldése az új szobába. |
| 3 |
Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz. |
Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése
| 1 |
A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. |
| 2 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 |
Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt. |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.
Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 |
Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget. |
| 2 |
A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre. |
| 3 |
A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához. |
| 4 |
Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra . |
Áthelyezés a próbaidőszakból az éles módba
| 1 |
Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget. |
| 2 |
A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre. |
| 3 |
A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre. |
| 4 |
Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba. |
Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra
| 1 |
Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget. |
| 2 |
A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre. |
| 3 |
Az Inaktiválás részben kattintson az Inaktiválásgombra. |
| 4 |
Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
HDS-telepítés kezelése
Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.
Fürtverziófrissítési ütemezés beállítása
A verziófrissítési ütemezés beállítása:
| 1 |
Jelentkezzen be a Control Hubba. |
| 2 |
Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget. |
| 3 |
A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 |
A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét. |
| 5 |
A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra. |
A csomópont konfigurációjának módosítása
-
Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.
Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
-
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.
Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
-
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
-
Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
-
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.
Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.
Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.
Mielőtt elkezdené
-
A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:
Leírás
Változó
Http-proxy hitelesítés nélkül
Globális_ügynök_http: / /www.php.net_Proxy=http://KISZOLGÁLÓ_ip:portHTTPS-proxy hitelesítés nélkül
GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORTHttp-proxy hitelesítéssel
GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORTHTTPS-proxy hitelesítéssel
GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT -
Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.
| 1 |
A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. |
| 2 |
Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. |
| 3 |
A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: |
| 4 |
Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton. |
A blokkolt külső DNS-feloldási mód kikapcsolása
Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.
Mielőtt elkezdené
| 1 |
Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra. |
| 2 |
Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva. |
| 3 |
Lépjen a Megbízhatósági áruház és proxy oldalra. |
| 4 |
Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani. |
Mi a következő lépés
Csomópont eltávolítása
| 1 |
A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet. |
| 2 |
Csomópont eltávolítása: |
| 3 |
A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.) Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével. |
Katasztrófa-helyreállítás a készenléti adatközpont használatával
A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.
Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:
Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.
| 1 |
Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket. |
| 2 |
A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre |
| 3 |
A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a
|
| 4 |
Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre. |
| 5 |
Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk. |
| 6 |
A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. |
| 7 |
Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek. |
| 8 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás. |
| 9 |
Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban. Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban. |
Mi a következő teendő
(Opcionális) ISO leválasztása a HDS-konfiguráció után
A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.
| 1 |
Állítsa le az egyik HDS-csomópontot. |
| 2 |
A vCenter Server Appliance-ben válassza ki a HDS csomópontot. |
| 3 |
Válassza a lehetőséget, és törölje az ISO-fájl jelölését. |
| 4 |
Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás. |
| 5 |
Ismételje meg egymás után minden HDS-csomópont esetében. |
Hibrid adatbiztonsági szolgáltatás hibaelhárítása
Riasztások és hibaelhárítás megtekintése
A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:
-
Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
-
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
-
Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
-
Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
-
-
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.
Riasztások
Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.
|
Riasztás |
Művelet |
|---|---|
|
Helyi adatbázis-hozzáférés sikertelen. |
Keressen adatbázishibákat vagy helyi hálózati problémákat. |
|
Nem sikerült csatlakozni a helyi adatbázishoz. |
Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában. |
|
Sikertelen volt a felhőszolgáltatás-hozzáférés. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint. |
|
A felhőszolgáltatás regisztrációjának megújítása. |
A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van. |
|
A felhőszolgáltatás regisztrációja megszakadt. |
A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll. |
|
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését. |
|
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től. |
|
A felhőszolgáltatásokhoz való hitelesítés sikertelen. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
|
Nem sikerült megnyitni a helyi kulcstár fájlját. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban. |
|
A helyi kiszolgáló tanúsítványa érvénytelen. |
Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki. |
|
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
|
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e. |
Hibrid adatbiztonsági szolgáltatás hibaelhárítása
| 1 |
Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket. |
| 2 |
Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. |
| 3 |
Forduljon a Cisco ügyfélszolgálatához. |
Egyéb megjegyzések
A hibrid adatbiztonsági szolgáltatás ismert problémái
-
Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
-
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.
Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).
OpenSSL használata PKCS12 fájl létrehozásához
Mielőtt elkezdené
-
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
-
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
-
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
-
Hozzon létre egy privát kulcsot.
-
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).
| 1 |
Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el |
| 2 |
A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.
|
| 3 |
Használjon szövegszerkesztőt egy
|
| 4 |
Hozza létre a .p12 fájlt
|
| 5 |
Ellenőrizze a kiszolgáló tanúsítványának részleteit. |
Mi a következő teendő
Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.
Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.
HDS-csomópontok és a felhő közötti forgalom
Kimenő mérőszámok gyűjtésének forgalma
A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.
Bejövő forgalom
A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:
-
Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
-
A csomópont szoftverének frissítései
Squid-proxyk konfigurálása a hibrid adatbiztonsághoz
A Websocket nem tud tintahal-proxyn keresztül csatlakozni
A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.
Tintahal 4 és 5
Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:
on_unsupported_protocol az alagútTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.
acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
