Ebben a cikkben
dropdown icon
Előszó
    Új és módosított információk
dropdown icon
Ismerkedés a hibrid adatbiztonsággal
    Hibrid adatbiztonság áttekintése
    dropdown icon
    Biztonsági birodalom architektúra
      A szétválás birodalmai (hibrid adatbiztonság nélkül)
    Együttműködés más szervezetekkel
    Elvárások a hibrid adatbiztonság bevezetésével kapcsolatban
    Magas szintű beállítási folyamat
    dropdown icon
    Hibrid adatbiztonsági telepítési modell
      Hibrid adatbiztonsági telepítési modell
    Hibrid adatbiztonsági próbaüzemmód
    dropdown icon
    Készenléti adatközpont katasztrófa utáni helyreállításhoz
      Készenléti adatközpont beállítása katasztrófa utáni helyreállításhoz
    Proxy támogatás
dropdown icon
Készítse fel környezetét
    dropdown icon
    A hibrid adatbiztonság követelményei
      Cisco Webex licenckövetelmények
      Docker asztali számítógépre vonatkozó követelmények
      X.509 tanúsítványkövetelmények
      Virtuális gazdagép követelményei
      Adatbázis-kiszolgáló követelményei
      Külső csatlakozási követelmények
      Proxykiszolgálói követelmények
    A hibrid adatbiztonság előfeltételeinek teljesítése
dropdown icon
Hibrid adatbiztonsági klaszter beállítása
    Hibrid adatbiztonsági telepítési feladatfolyamat
    Telepítőfájlok letöltése
    Konfigurációs ISO létrehozása a HDS-gazdagépekhez
    Telepítse a HDS Host OVA-t
    A hibrid adatbiztonsági virtuális gép beállítása
    HDS konfigurációs ISO feltöltése és csatolása
    A HDS-csomópont konfigurálása proxyintegrációhoz
    Az első csomópont regisztrálása a fürtben
    További csomópontok létrehozása és regisztrálása
dropdown icon
Próbaverzió futtatása és átállás éles üzembe
    Próbaüzemből éles üzembe helyezés feladatfolyama
    Próbaverzió aktiválása
    Hibrid adatbiztonsági telepítés tesztelése
    Hibrid adatbiztonsági állapot figyelése
    Felhasználók hozzáadása vagy eltávolítása a próbaverzióból
    Átállás próbaverzióról éles verzióra
    Próbaidőszak befejezése éles verzióra való áttérés nélkül
dropdown icon
HDS-telepítés kezelése
    HDS telepítés kezelése
    Fürtfrissítési ütemterv beállítása
    A csomópont konfigurációjának módosítása
    A blokkolt külső DNS-feloldási mód kikapcsolása
    Csomópont eltávolítása
    Katasztrófa utáni helyreállítás a Standby Data Center segítségével
    (Opcionális) ISO leválasztása a HDS konfigurációja után
dropdown icon
Hibrid adatbiztonsági hibák elhárítása
    Riasztások megtekintése és hibaelhárítás
    dropdown icon
    Riasztások
      Gyakori problémák és megoldásuk lépései
    Hibrid adatbiztonsági hibák elhárítása
dropdown icon
Egyéb megjegyzések
    Ismert problémák a hibrid adatbiztonsággal kapcsolatban
    Futtassa a HDS telepítőeszközt a Podman Desktop segítségével
    PKCS12 fájl létrehozása OpenSSL használatával
    Forgalom a HDS csomópontok és a felhő között
    dropdown icon
    Squid proxyk konfigurálása hibrid adatbiztonsághoz
      A Websocket nem tud tintahal-proxyn keresztül csatlakozni
2025. május 22. | 139 megtekintés | 0 személy érezte ezt hasznosnak

Telepítési útmutató a Webex Hybrid Data Security szolgáltatáshoz

list-menuEbben a cikkben
list-menuVisszajelzés?
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

2021. június 24

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2020. október 13

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

2020. augusztus 14

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 4Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.


passiveMode: 'true'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

Példa hibrid adatbiztonsági csomópontokra és proxyra

Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

Készítse elő a környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgáló követelményei

  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

    • Átlátszó proxy— Cisco web Security Appliance (WSA).

    • Explicit proxy—Squid.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

    • Nincs hitelesítés HTTP vagy HTTPS protokollal

    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

    • Kivonatalapú hitelesítés csak HTTPS-sel

  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse elő a környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gépe parancssorában adja meg a környezetének megfelelő parancsot:

Normál környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

docker login -u hdscustomersro
3

A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legújabb stabil lemezképet a környezetéhez:

Normál környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Normál környezetben proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Normál környezetben HTTP proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy nélküli FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

TLS szükséges

A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS megkövetelése és tanúsítványaláíró ellenőrzése


 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        HTTP vagy HTTPS proxykhoz érhető el.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        HTTP vagy HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak HTTPS-proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

3

Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

4

Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

6

Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

A csomópont néhány percen belül újraindul.

7

Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be ide: Control Hub .

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:

  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


     

    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

1

A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

    Normál környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

    docker login -u hdscustomersro

  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

    Normál környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Normál környezetben proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Normál környezetben HTTP proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Normál környezetben HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy nélküli FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO -fájlt.

  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS-gazda OVA-t.

  2. Állítsa be a HDS VM.

  3. Csatlakoztassa a frissített konfigurációs fájl.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gép.

  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

4

Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

Kapcsolja ki a Blokkolt külső DNS -feloldási módot

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

Mielőtt elkezdené

Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
1

Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Áttekintés (az alapértelmezett oldal).

Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

3

Lépjen a következőre: Trust Store és Proxy oldalon.

4

Kattintson Ellenőrizze a proxykapcsolatot .

Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

Mi a következő teendő

Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat. 


passiveMode: 'false'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférési hiba.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Squid 4 és 5

Adja hozzá a on_unsupported_protocol utasítást squid.conf: 

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak. 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

2021. június 24

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2020. október 13

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

2020. augusztus 14

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 4Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.


passiveMode: 'true'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

Példa hibrid adatbiztonsági csomópontokra és proxyra

Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

Készítse elő a környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgáló követelményei

  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

    • Átlátszó proxy— Cisco web Security Appliance (WSA).

    • Explicit proxy—Squid.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

    • Nincs hitelesítés HTTP vagy HTTPS protokollal

    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

    • Kivonatalapú hitelesítés csak HTTPS-sel

  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse elő a környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gépe parancssorában adja meg a környezetének megfelelő parancsot:

Normál környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

docker login -u hdscustomersro
3

A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legújabb stabil lemezképet a környezetéhez:

Normál környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Normál környezetben proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Normál környezetben HTTP proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy nélküli FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

TLS szükséges

A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS megkövetelése és tanúsítványaláíró ellenőrzése


 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        HTTP vagy HTTPS proxykhoz érhető el.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        HTTP vagy HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak HTTPS-proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

3

Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

4

Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

6

Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

A csomópont néhány percen belül újraindul.

7

Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be ide: Control Hub .

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:

  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


     

    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

1

A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

    Normál környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

    docker login -u hdscustomersro

  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

    Normál környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Normál környezetben proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Normál környezetben HTTP proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Normál környezetben HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy nélküli FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO -fájlt.

  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS-gazda OVA-t.

  2. Állítsa be a HDS VM.

  3. Csatlakoztassa a frissített konfigurációs fájl.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gép.

  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

4

Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

Kapcsolja ki a Blokkolt külső DNS -feloldási módot

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

Mielőtt elkezdené

Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
1

Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Áttekintés (az alapértelmezett oldal).

Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

3

Lépjen a következőre: Trust Store és Proxy oldalon.

4

Kattintson Ellenőrizze a proxykapcsolatot .

Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

Mi a következő teendő

Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat. 


passiveMode: 'false'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférési hiba.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Squid 4 és 5

Adja hozzá a on_unsupported_protocol utasítást squid.conf: 

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak. 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

2021. június 24

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2020. október 13

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

2020. augusztus 14

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 4Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.


passiveMode: 'true'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

Példa hibrid adatbiztonsági csomópontokra és proxyra

Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

Készítse elő a környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgáló követelményei

  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

    • Átlátszó proxy— Cisco web Security Appliance (WSA).

    • Explicit proxy—Squid.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

    • Nincs hitelesítés HTTP vagy HTTPS protokollal

    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

    • Kivonatalapú hitelesítés csak HTTPS-sel

  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse elő a környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gépe parancssorában adja meg a környezetének megfelelő parancsot:

Normál környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

docker login -u hdscustomersro
3

A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legújabb stabil lemezképet a környezetéhez:

Normál környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Normál környezetben proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Normál környezetben HTTP proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy nélküli FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

TLS szükséges

A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS megkövetelése és tanúsítványaláíró ellenőrzése


 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        HTTP vagy HTTPS proxykhoz érhető el.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        HTTP vagy HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak HTTPS-proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

3

Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

4

Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

6

Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

A csomópont néhány percen belül újraindul.

7

Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be ide: Control Hub .

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:

  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


     

    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

1

A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

    Normál környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

    docker login -u hdscustomersro

  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

    Normál környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Normál környezetben proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Normál környezetben HTTP proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Normál környezetben HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy nélküli FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO -fájlt.

  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS-gazda OVA-t.

  2. Állítsa be a HDS VM.

  3. Csatlakoztassa a frissített konfigurációs fájl.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gép.

  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

4

Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

Kapcsolja ki a Blokkolt külső DNS -feloldási módot

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

Mielőtt elkezdené

Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
1

Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Áttekintés (az alapértelmezett oldal).

Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

3

Lépjen a következőre: Trust Store és Proxy oldalon.

4

Kattintson Ellenőrizze a proxykapcsolatot .

Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

Mi a következő teendő

Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat. 


passiveMode: 'false'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférési hiba.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Squid 4 és 5

Adja hozzá a on_unsupported_protocol utasítást squid.conf: 

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak. 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

2021. június 24

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2020. október 13

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

2020. augusztus 14

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 4Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.


passiveMode: 'true'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

Példa hibrid adatbiztonsági csomópontokra és proxyra

Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

Készítse elő a környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgáló követelményei

  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

    • Átlátszó proxy— Cisco web Security Appliance (WSA).

    • Explicit proxy—Squid.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

    • Nincs hitelesítés HTTP vagy HTTPS protokollal

    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

    • Kivonatalapú hitelesítés csak HTTPS-sel

  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse elő a környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gépe parancssorában adja meg a környezetének megfelelő parancsot:

Normál környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

docker login -u hdscustomersro
3

A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legújabb stabil lemezképet a környezetéhez:

Normál környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Normál környezetben proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Normál környezetben HTTP proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy nélküli FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

TLS szükséges

A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS megkövetelése és tanúsítványaláíró ellenőrzése


 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        HTTP vagy HTTPS proxykhoz érhető el.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        HTTP vagy HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak HTTPS-proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

3

Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

4

Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

6

Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

A csomópont néhány percen belül újraindul.

7

Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be ide: Control Hub .

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:

  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


     

    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

1

A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

    Normál környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

    docker login -u hdscustomersro

  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

    Normál környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Normál környezetben proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Normál környezetben HTTP proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Normál környezetben HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy nélküli FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO -fájlt.

  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS-gazda OVA-t.

  2. Állítsa be a HDS VM.

  3. Csatlakoztassa a frissített konfigurációs fájl.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gép.

  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

4

Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

Kapcsolja ki a Blokkolt külső DNS -feloldási módot

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

Mielőtt elkezdené

Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
1

Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Áttekintés (az alapértelmezett oldal).

Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

3

Lépjen a következőre: Trust Store és Proxy oldalon.

4

Kattintson Ellenőrizze a proxykapcsolatot .

Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

Mi a következő teendő

Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat. 


passiveMode: 'false'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférési hiba.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Squid 4 és 5

Adja hozzá a on_unsupported_protocol utasítást squid.conf: 

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak. 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

2021. június 24

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2020. október 13

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

2020. augusztus 14

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 4Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.


passiveMode: 'true'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

Példa hibrid adatbiztonsági csomópontokra és proxyra

Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

Készítse elő a környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgáló követelményei

  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

    • Átlátszó proxy— Cisco web Security Appliance (WSA).

    • Explicit proxy—Squid.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

    • Nincs hitelesítés HTTP vagy HTTPS protokollal

    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

    • Kivonatalapú hitelesítés csak HTTPS-sel

  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse elő a környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gépe parancssorában adja meg a környezetének megfelelő parancsot:

Normál környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

docker login -u hdscustomersro
3

A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legújabb stabil lemezképet a környezetéhez:

Normál környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Normál környezetben proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Normál környezetben HTTP proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy nélküli FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

TLS szükséges

A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS megkövetelése és tanúsítványaláíró ellenőrzése


 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Nincs—Nincs szükség további hitelesítésre.

        HTTP vagy HTTPS proxykhoz érhető el.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        HTTP vagy HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak HTTPS-proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

3

Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

4

Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

6

Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

A csomópont néhány percen belül újraindul.

7

Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be ide: Control Hub .

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:

  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


     

    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

1

A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

    Normál környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

    docker login -u hdscustomersro

  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

    Normál környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Normál környezetben proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Normál környezetben HTTP proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Normál környezetben HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy nélküli FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO -fájlt.

  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS-gazda OVA-t.

  2. Állítsa be a HDS VM.

  3. Csatlakoztassa a frissített konfigurációs fájl.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gép.

  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

4

Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

Kapcsolja ki a Blokkolt külső DNS -feloldási módot

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

Mielőtt elkezdené

Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
1

Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Áttekintés (az alapértelmezett oldal).

Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

3

Lépjen a következőre: Trust Store és Proxy oldalon.

4

Kattintson Ellenőrizze a proxykapcsolatot .

Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

Mi a következő teendő

Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat. 


passiveMode: 'false'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférési hiba.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Squid 4 és 5

Adja hozzá a on_unsupported_protocol utasítást squid.conf: 

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak. 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

Június 24, 2021

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24.

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2.

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

Október 13, 2020

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

14. augusztus 2020.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

Február 20, 2020Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 12.Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19.

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8.

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6.

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20.

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24.

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22.
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

A feladatátvétel előtt az A Data Center aktív HDS-csomópontokkal és az elsődleges PostgreSQL- vagy Microsoft SQL Server-adatbázissal rendelkezik, míg a B-ben található az ISO -fájl egy példánya a további konfigurációkkal, a szervezethez regisztrált virtuális gépekkel és egy készenléti adatbázissal. Feladatátvétel után a B Data Center aktív HDS-csomópontokkal és az elsődleges adatbázissal rendelkezik, míg A nem regisztrált virtuális gépekkel és az ISO -fájl egy példányával rendelkezik, az adatbázis pedig készenléti állapotban van.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.

 PasszívMód: 'igaz'

4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Egyik sem — Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat. X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com .

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-privát-kulcs a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat. Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com ), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel:http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup , és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse fel környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

docker bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához,http://127.0.0.1:8080 , és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban felhasználónév@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon : vagy : .

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514 .

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C .

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintson CD/ DVD -meghajtó 1 , válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Egyik sem — Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup .)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_ KULCS_ GYŰJTEMÉNY :

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] érkezett, eszközazonosító: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=create , kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_ KULCS_ GYŰJTEMÉNY , kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KULCS :

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] érkezett, eszközazonosító: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_f [~]0, kms.data.method=retrieve , kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KULCS , kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KULCS_ GYŰJTEMÉNY :

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] érkezett, eszközazonosító: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_ 4[~]0, kms.data.method=create , kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KULCS_ GYŰJTEMÉNY , kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=ERŐFORRÁS_ GYŰJTEMÉNY :

    Meg kell találnia egy ilyen bejegyzést: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] érkezett, eszközazonosító: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=create , kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=ERŐFORRÁS_ GYŰJTEMÉNY , kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup ; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.


     

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    docker bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP környezetben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C .

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat.

 PasszívMód: 'hamis'

4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat. Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem .

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem . A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban:

-----KEZDŐ TANÚSÍTVÁNY----- ### Szerver tanúsítvány. ### -----TANÚSÍTVÁNY VÉGE----- -----TANÚSÍTVÁNY BEGIN----- ### Középfokú CA-tanúsítvány. ### -----TANÚSÍTVÁNY VÉGE----- -----TANÚSÍTVÁNY BEGIN----- ### Legfelső szintű CA-tanúsítvány. ### -----TANÚSÍTVÁNY VÉGE-----

4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-privát-kulcs .

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-privát-kulcs .

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: A MAC által ellenőrzött OK Bag attribútumok friendlyName: kms-privát-kulcs localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Főbb jellemzők: Írja be a PEM-jelszót: Ellenőrzés – Írja be a PEM-jelszót: ----- TITKOSÍTOTT MAGÁNKULCS KEZDÉSE----- -----VÉGE TITKOSÍTOTT MAGÁNKULCS ----- Táska tulajdonságai friendlyName: kms-privát-kulcs localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Titkosítsuk az X3-at/CN=Titkosítsuk a jogosultságot ---KEZDŐ TANÚSÍTVÁNY----- -----VÉG TANÚSÍTVÁNY----- Táska Attribútumok friendlyName: CN=Titkosítsuk a jogosultságot X3,O=Titkosítsuk,C=US subject=/C=US/O=Titkosítsuk/CN=Titkosítsuk a jogosultságot X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----KEZDŐ TANÚSÍTVÁNY----- -----TANÚSÍTVÁNY VÉGE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss: ) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Tintahal 4 és 5

Adja hozzá aon_unsupported_protocol utasítást squid.conf :

on_unsupported_protocol alagút minden

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex higany-kapcsolatssl_bump wssMercuryConnection acl illesztése 1. lépésat_step SslBump1 acl 2. lépésat_step SslBump2 acl 3. lépésat_step SslBump3ssl_bump peek 1. lépés mindenssl_bump stare step2 allssl_bump bump step3 all
Előszó

Új és módosított információk

Dátum

Végrehajtott módosítások

2023. október 20

2023. augusztus 07

2023. május 23

2022. december 06

2022. november 23

2021. október 13

A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények .

2021. június 24

Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért.

2021. április 30.

Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért.

2021. február 24

A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért.

2021. február 2

A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

2021. január 11

További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2020. október 13

Frissítve Telepítési fájlok letöltése .

2020. október 8.

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez.

2020. augusztus 14

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával.

2020. augusztus 5

Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz.

Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet.

2020. június 16

Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz.

2020. június 4

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához.

2020. május 29

Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel.

2020. április 1.

Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival.

2020. február 20Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal.
2020. február 4Frissítve Proxykiszolgáló követelményei .
2019. december 16.Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei .
2019. november 19

A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek:

2019. november 8

Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően.

Ennek megfelelően frissítette a következő szakaszokat:


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

2019. szeptember 6

SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei .

2019. augusztus 29.Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében.
2019. augusztus 20

Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé.

Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk.

2019. június 13Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6
2019. február 28.

  • A Hybrid Data Security csomópontokká váló virtuális gazdagépek előkészítésekor 50 GB-ról 20 GB-ra korrigált a helyi merevlemez-terület kiszolgálónkénti mennyisége, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A Hybrid Data Security csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat a TLS-kompatibilis syslog kiszolgálókkal. Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva az „Internetkapcsolati követelmények hibrid adatbiztonsági csomóponti virtuális gépekhez” táblából. A táblázat mostantól a „További URL-címek Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik A Webex Teams Services hálózati követelményei .

2019. január 24

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server mindig bekapcsolva (mindig feladatátvételi fürtökön és mindig rendelkezésre állási csoportokon) beállítást a Hybrid Data Security alkalmazásban használt JDBC-illesztőprogramok támogatják. Az SQL Serverrel történő telepítéshez kapcsolódó tartalom hozzáadva.


     

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5
2018. október 19

2018. július 31
2018. május 21.

Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark Hybrid Data Security új neve Hybrid Data Security.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás alkalmazás.

  • A Cisco Collaboraton felhő mostantól Webex felhő.

2018. április 11
2018. február 22
2018. február 15.

  • A X.509 Tanúsítványkövetelmények táblázatban megadott, hogy a tanúsítvány nem lehet helyettesítő karakter tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

2018. január 18.

2017. november 2

  • A HdsTrialGroup pontosított címtár-szinkronizálása.

  • Kijavítottunk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a VM -csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18

Első közzététel

Első lépések a Hybrid Data Security használatában

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.

Biztonsági birodalmi architektúra

A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.

Az elkülönítés tartományai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .

Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:

  1. Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenetet a rendszer a tárhelytartományban tárolja.

A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.

A hibrid adatbiztonság telepítésével kapcsolatos elvárások

A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.

A Hybrid Data Security üzembe helyezéséhez meg kell adnia:

A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.


 

A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe.

Magas szintű telepítési folyamat

Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:

  • Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.

    A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.

  • Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)

A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen fürtöt támogatunk.

Hibrid adatbiztonsági próba mód

A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.

Készenléti adatközpont vész-helyreállításhoz

A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
Kézi feladatátvétel a készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.


 

Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló.

Készenléti adatközpont beállítása vész-helyreállításhoz

Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:

Mielőtt elkezdené

  • A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Az ISO -fájlnak az elsődleges adatközpont eredeti ISO -fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.


passiveMode: 'true'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog-okat, és győződjön meg arról, hogy a csomópontok passzív módban vannak. Látnia kell a „KMS passzív módban konfigurálva” üzenetet a syslogokban.

Mi a következő teendő

A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.

Proxy támogatás

A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.

A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.

  • Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).

  • Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.

      • HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Egyik sem — Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.

        Minden csomóponton meg kell adnia a felhasználónév és a jelszót.

Példa hibrid adatbiztonsági csomópontokra és proxyra

Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.

Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.

Készítse fel környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

A Hybrid Data Security üzembe helyezése:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".

X.509 Tanúsítványkövetelmények

A tanúsítványlánc meg kell felelnie a következő követelményeknek:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható Certificate Authority (CA) írta alá

Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs .

  • Egy Common Name (CN) tartomány neve , amely azonosítja az Ön Hybrid Data Security telepítését

  • Nem helyettesítő karakteres tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (cserélő karakter).

A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható.

  • Nem SHA1 aláírás

A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12-fájlként formázva

  • Használja a(z) barát nevét kms-private-key a tanúsítvány, a privát kulcs és a feltöltendő közbenső tanúsítványok címkézéséhez.

A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.

Virtuális kiszolgálóra vonatkozó követelmények

A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:

  • Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el

  • A VMware ESXi 6.5 (vagy újabb) telepítve és futva.


     

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület

Adatbázis-kiszolgáló követelményei


 

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.

Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:

2. táblázat Adatbáziskiszolgáló-követelmények adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16, telepítve és futva.

  • Az SQL Server 2016, 2017 vagy 2019 (nagyvállalati vagy standard) telepítve.


     

    Az SQL Server 2016 rendszerhez Service Pack 2 és Összesített frissítés 2 vagy újabb szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ).

További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez

Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:

  • A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).

  • A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .

    A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonal az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-gazda

  • A Hybrid Data Security számára felsorolt egyéb URL-ek a következőben: A Webex Hybrid Services további URL-címei táblázata A Webex Services hálózati követelményei

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-gazda

  • hub.docker.com


 

A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-ek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgáló követelményei

  • Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.

    • Átlátszó proxy— Cisco web Security Appliance (WSA).

    • Explicit proxy—Squid.


       

      A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .

  • Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:

    • Nincs hitelesítés HTTP vagy HTTPS protokollal

    • Alapszintű hitelesítés HTTP vagy HTTPS protokollal

    • Kivonatalapú hitelesítés csak HTTPS-sel

  • Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.

  • A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.

  • A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz: wbx2.com és ciscospark.com megoldja a problémát.

Töltse ki a hibrid adatbiztonság előfeltételeit

Ezzel az ellenőrző listával győződjön meg arról, hogy készen áll a Hybrid Data Security fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz.

2

Válasszon egy tartomány neve a HDS-telepítéshez (például hds.company.com), és szerezzen be egy X.509-tanúsítványt, privát kulcsot és minden közbenső tanúsítványlánc tartalmazó tanúsítványláncot. A tanúsítványlánc meg kell felelnie a követelményeknek X.509 Tanúsítványkövetelmények .

3

Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények .

4

Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Ezt az adatbázist létre kell hoznia – ne az alapértelmezett adatbázist használja. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgáló való kommunikációhoz használnak majd:

    • a szervező neve vagy IP-cím (gazdagépét) és portját

    • a kulcstároláshoz szükséges adatbázis neve (dbname).

    • a kulcstároló adatbázisban minden jogosultsággal rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie.

6

Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514).

7

Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.


 

Mivel a Hybrid Data Security csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a HELYEZETLEN VESZTESÉG az adott tartalomból.

A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont .

8

Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények .

9

A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080.

A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények .

10

Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei .

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve HdsTrialGroup, és adjon hozzá kísérleti felhasználókat. A próbacsoportnak legfeljebb 250 felhasználója lehet. A HdsTrialGroup Az objektumnak szinkronizálnia kell a felhővel, mielőtt próbaidőszakot indíthat a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a Címtárösszekötőben Konfiguráció > Objektum kijelölése menüt. (A részletes utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz. )


 

Az adott szoba kulcsait a szoba létrehozója állítja be. A próbafelhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a Hybrid Data Security telepítését, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott tárhelyek tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott példányait.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

Készítse elő a környezetét

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra.

2

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA alkalmazást

Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

4

Állítsa be a Hybrid Data Security VM

Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor.

5

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl .

6

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

Regisztrálja az Első csomópontot a fürtben

Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)

A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban egy OVA-fájlt tölt le a számítógépére (nem a hibrid adatbiztonsági csomópontként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre .

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás .

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.


 

Az OVA-t bármikor letöltheti a következő oldalról: Segítség szakaszban a Beállítások elemre oldalon. A Hybrid Data Security kártyán kattintson a gombra Beállítások szerkesztése az oldal megnyitásához. Ezután kattintson Töltse le a Hybrid Data Security szoftvert a Segítség szakaszban.


 

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg arról, hogy az OVA-fájl legújabb verzióját töltötte le.

3

Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő .

Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
4

Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója.

Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára

A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Az engedélyezési házirend változásai

  • Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.

1

A gépe parancssorában adja meg a környezetének megfelelő parancsot:

Normál környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

docker login -u hdscustomersro
3

A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legújabb stabil lemezképet a környezetéhez:

Normál környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP-környezetekben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Normál környezetben proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Normál környezetben HTTP proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS-proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy nélküli FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

6

 

A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

Használjon webböngészőt a localhost megnyitásához, http://127.0.0.1:8080, és a promptnál adja meg az ügyfél rendszergazdai felhasználónevét a Control Hub számára.

Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot.

7

Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz.

8

A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések .

9

A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:

  • Nem —Ha az első HDS-csomópontját hozza létre, akkor nem kell feltöltenie ISO -fájlt.
  • Igen —Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO -fájlt a tallózásban, és töltse fel.
10

Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
  • Ha a tanúsítvány OK van, kattintson a gombra Folytatás .
  • Ha a tanúsítvány lejárt, vagy le szeretné cserélni, válassza a lehetőséget Nem számára Továbbra is használja a HDS- tanúsítványlánc és a privát kulcsot az előző ISO-ból? . Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, és kattintson a gombra Folytatás .
11

Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez:

  1. Válassza ki a sajátját Adatbázis típusa ( PostgreSQL vagy Microsoft SQL Server ).

    Ha úgy dönt Microsoft SQL Server , akkor egy hitelesítéstípus mezőt kap.

  2. ( Microsoft SQL Server csak) Válassza ki a saját hitelesítéstípus :

    • Alapszintű hitelesítés : Szüksége van egy helyi SQL Server- fióknév a Felhasználónév mezőben.

    • Windows-hitelesítés : Szüksége van egy Windows-fiókra a következő formátumban username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét az űrlapon <hostname>:<port> vagy <IP-address>:<port>.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-cím az alapvető hitelesítéshez, ha a csomópontok nem tudják a DNS segítségével feloldani a gazdagép nevét.

    Ha Windows-hitelesítést használ, meg kell adnia egy Teljes tartománynevet a formátumban dbhost.example.org:1433

  4. Adja meg a Adatbázis neve .

  5. Adja meg a Felhasználónév és Jelszó a kulcstár-adatbázis összes jogosultságával rendelkező felhasználó fiókját.

12

Válassza ki a TLS adatbázis-kapcsolati mód :

Mód

Leírás

TLS előnyben részesítése (alapértelmezett lehetőség)

A HDS-csomópontoknak nincs szükségük TLS -re az adatbázis-kiszolgáló való kapcsolódáshoz. Ha engedélyezi a TLS -t az adatbázis-kiszolgáló, a csomópontok megkísérelnek egy titkosított kapcsolatot.

TLS szükséges

A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS megkövetelése és tanúsítványaláíró ellenőrzése


 

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Igényelje a TLS -t, és ellenőrizze a tanúsítvány aláíróját és a gazdagép nevét

  • A HDS-csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgáló igazolásának aláíróját a Adatbázis gyökértanúsítvány . Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgálótanúsítvány szereplő gazdagépnév megegyezik-e a kiszolgálótanúsítványban szereplő gazdagépnévvel Adatbázis gazdagép és port mezőben. A neveknek pontosan egyeznie kell, különben a csomópont megszakítja a kapcsolatot.

Használja a Adatbázis gyökértanúsítvány vezérlőt a legördülő menüben, hogy feltöltsön ehhez a beállításhoz a gyökértanúsítvány .

Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.)

13

A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót:

  1. Adja meg a syslog szerver URL-címét .

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürt csomópontjairól, használjon IP-cím az URL-ben .

    Példa:
    udp://10.92.43.23:514 A naplózást jelzi a 10.92.43.23 Syslogd gazdagépre az 514-es UDP porton.

  2. Ha TLS -titkosítás használatára állította be a kiszolgálót, ellenőrizze A syslog szerver SSL titkosításra van beállítva? .

    Ha bejelöli ezt a jelölőnégyzet, győződjön meg arról, hogy TCP URL -t ad meg, mint pl tcp://10.92.43.23:514.

  3. A következőből: Válassza ki a syslog rekord lezárását legördülő menüből válassza ki az ISO -fájljának megfelelő beállítást: A Graylog és az Rsyslog TCP esetén a Select vagy az Újsor beállítás használatos

    • Null byte -- \x00

    • Újsor -- \n — Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt.

A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében.

16

Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

18

A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.


 

Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti.

Telepítse a HDS Host OVA alkalmazást

Ezzel az eljárással hozhat létre virtuális gép az OVA-fájlból.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre.

2

Válassza ki Fájl lehetőségre > OVF-sablon telepítése .

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő .

4

A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő .

5

A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő .

Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson Következő .

7

Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő .

8

A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét.

9

A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM.

10

A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:

  • Gazdanév — Adja meg a csomópont FQDN-jét (gazdanév és tartomány), vagy egyetlen szó állomásnevet.

     

    • Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

    • A sikeres felhőbeli regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított teljes minőségi tartománynévben vagy gazdagépnévben. A nagybetűk használata jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP cím — Adja meg a csomópont belső interfészének IP-cím .

     

    A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

  • Maszk — Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például: 255.255.255.0 .
  • Átjáró —Adja meg az átjáró IP-cím. Az átjáró egy hálózati csomópont, amely hozzáférési pont szolgál egy másik hálózathoz.
  • DNS -kiszolgálók — Adja meg a tartománynevek numerikus IP -címekké fordítását kezelő DNS -kiszolgálók vesszőkkel elválasztott listáját. (Legfeljebb 4 DNS -bejegyzés engedélyezett.)
  • NTP szerverek — Adja meg a szervezete NTP kiszolgáló vagy egy másik, a szervezetében használható külső NTP kiszolgáló . Előfordulhat, hogy az alapértelmezett NTP -kiszolgálók nem minden vállalatnál működnek. Használhat vesszővel elválasztott listát is több NTP -kiszolgáló megadásához.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózaton lévő ügyfelekről adminisztrációs célból.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.


 

A hálózati beállítások OVA-telepítés során történő konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy ez a lehetőség nem áll rendelkezésre a korábbi verziókban.

11

Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget Teljesítmény > Bekapcsolás .

A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni.

Állítsa be a Hybrid Data Security VM

Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.

1

A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre.

A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
2

Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót.

4

Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott.

5

(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek.

Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt.

6

Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek.

Töltse fel és szerelje fel a HDS konfigurációs ISO -t

Ezzel az eljárással konfigurálhatja a virtuális gép a HDS telepítőeszközzel létrehozott ISO -fájlból.

Mielőtt elkezdené

Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltse fel az ISO fájlt a számítógépéről:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson az ESXi kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a gombra Tárolás .

  3. Az Adattárak listában kattintson a jobb kattintás a virtuális gépek adattárára, majd kattintson a gombra Tallózás az Adattárban .

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a gombra Fájl feltöltése .

  5. Keresse meg azt a helyet a számítógépén, ahonnan letöltötte az ISO -fájlt, és kattintson a gombra Megnyitás .

  6. Kattintson Igen hogy elfogadja a feltöltés/letöltés műveletre vonatkozó figyelmeztetést, és zárja be az adattár párbeszédpanelt.

2

Az ISO fájl csatolása:

  1. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  2. Kattintson OK hogy elfogadja a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetést.

  3. Kattintás CD/DVD Drive 1, válassza ki az adattárhelyi ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahová a konfigurációs ISO -fájlt feltöltötte.

  4. Ellenőrizze Csatlakoztatva és Csatlakoztatás bekapcsoláskor .

  5. Mentse a módosításokat, és indítsa újra a virtuális gép.

Mi a következő teendő

Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.

Konfigurálja a HDS-csomópontot a proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont-beállítási URL -címet https://[HDS Node IP or FQDN]/setup egy webböngészőben adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:

  • Nincs proxy — Az alapértelmezett lehetőség a proxy integrálása előtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nem kell változtatást igényelniük ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
  • Átlátszó ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A Hybrid Data Security telepítésen nincs szükség HTTPS-konfiguráció módosítására, azonban a HDS-csomópontoknak gyökértanúsítvány van szükségük ahhoz, hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
  • Explicit proxy — Explicit proxy esetén meg kell adni a kliensnek (HDS-csomópontok), hogy melyik proxykiszolgáló használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a lehetőséget, meg kell adnia a következő információkat:

    1. Proxy IP/FQDN —A proxygép eléréséhez használható cím.

    2. Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.

    3. Proxy protokoll — Válasszon http (megtekinti és vezérli az ügyféltől érkező összes kérést) vagy https (csatornát biztosít a kiszolgálónak, a kliens pedig megkapja és hitelesíti a kiszolgáló tanúsítványát). Válasszon egy lehetőséget aszerint, hogy mit támogat a proxykiszolgáló .

    4. hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:

      • Egyik sem — Nincs szükség további hitelesítésre.

        HTTP vagy HTTPS proxykhoz érhető el.

      • Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.

        HTTP vagy HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

      • Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.

        Csak HTTPS-proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónév és a jelszót is.

Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén.

3

Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz.

A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt.

4

Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között.

Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját.

Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel sok explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot .

5

Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen.

6

Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll.

A csomópont néhány percen belül újraindul.

7

Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál.

Regisztrálja az Első csomópontot a fürtben

Ez a feladat azt az általános csomópontot veszi fel, amelyet a következőben hozott létre: Állítsa be a Hybrid Data Security VM , regisztrálja a csomópontot a Webex felhőben, és Hybrid Data Security csomóponttá alakítja.

Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre .

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás .

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő .

5

Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját.

Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas”

6

A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM .

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
7

Kattintson Lépjen a Node-ra .

8

Kattintson Folytatás a figyelmeztető üzenet.

Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
9

Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további virtuális gépeket, és csatolja be ugyanazt a konfigurációs ISO -fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy rendelkezzen legalább 3 csomóponttal.

 

Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével .

Mielőtt elkezdené

  • Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.

  • Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást .

2

Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM .

3

Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t .

4

Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges.

5

Regisztrálja a csomópontot.

  1. Behttps://admin.webex.com , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hybrid Data Security kártyát, és kattintson a gombra Erőforrások .

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson Erőforrás hozzáadása elemre .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő .

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex felhőbe.

  6. Kattintson Lépjen a Node-ra .

    Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a szervezetnek a csomópont eléréséhez.

  7. Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás .

    Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára.

A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet)
Futtasson le egy próbaidőszakot, és térjen át éles verzióra

A próbaidőszakból a gyártási feladatfolyamat

Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági fürt beállítása
1

Adott esetben szinkronizálja a HdsTrialGroup csoport objektum.

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz, mielőtt elkezdené a próbaidőszakot. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

2

Próbaidőszak aktiválása

Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

Tesztelje hibrid adatbiztonsági telepítését

Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez.

4

A Hybrid Data Security állapotának figyelése

Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot a következő műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.

1

Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása .

A szolgáltatás állapota próba módra változik.
4

Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, HdsTrialGroup.)

Tesztelje hibrid adatbiztonsági telepítését

Ezzel az eljárással tesztelheti a Hybrid Data Security titkosítási forgatókönyveit.

Mielőtt elkezdené

  • Állítsa be a Hybrid Data Security telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.

  • Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.


 

Ha deaktiválja a Hybrid Data Security telepítését, a kísérleti felhasználók által létrehozott tárhelyek tartalma a továbbiakban nem lesz elérhető, miután a titkosítási kulcsok ügyfél-gyorsítótárazott példányait lecserélik.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.

  1. Ha szeretné ellenőrizni, hogy a felhasználó először létrehoz-e biztonságos csatornát a KMS felé, kapcsolja be a szűrést kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    A következőhöz hasonló bejegyzést kell találnia (az azonosítók lerövidítve az olvashatóság érdekében):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha szeretné ellenőrizni, hogy egy felhasználó igényel-e meglévő kulcsot a KMS-től, kapcsolja be a szűrést kms.data.method=retrieve és kms.data.type=KEY:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Ha szeretné ellenőrizni, hogy egy felhasználó kér új KMS-kulcs létrehozását, kapcsolja be a szűrést kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha szeretné ellenőrizni, hogy egy felhasználó kér egy új KMS-erőforrás objektum (KRO) létrehozását egy szoba vagy más védett erőforrás létrehozásakor, szűrje kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Meg kell találnia egy ilyen bejegyzést:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

A Hybrid Data Security állapotának figyelése

A Control Hubon belüli állapotjelző mutatja, hogy minden rendben van-e a Hybrid Data Security telepítésével. Proaktívabb riasztásért iratkozzon fel az e-mail-értesítésekre. A rendszer értesítést kap, ha a szolgáltatást érintő riasztások vagy szoftverfrissítések lépnek fel.
1

Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre .

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés .

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktivált egy próbaidőszakot, és hozzáadta a próbaidőszakhoz tartozó felhasználók kezdeti csoportját, a próbaidőszak aktív állapotában bármikor hozzáadhat vagy eltávolíthat próbaidőszaki tagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés .

Áthelyezés próbaidőszakról élesre

Ha meggyőződött arról, hogy a központi telepítése megfelelően működik a próbaidőszakos felhasználók számára, áttérhet éles verzióra. Amikor áttér az éles rendszerre, a szervezet összes felhasználója a helyszíni Hybrid Data Security tartományt fogja használni a titkosítási kulcsokhoz és más biztonsági tartományi szolgáltatásokhoz. Az éles verzióból nem térhet vissza próba módba, hacsak nem inaktiválja a szolgáltatást a vész- katasztrófa utáni helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe .

4

Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe.

Fejezze be a próbaidőszakot anélkül, hogy élesre váltana

Ha a próbaidőszak alatt úgy dönt, hogy nem folytatja a Hybrid Data Security üzembe helyezését, akkor deaktiválhatja a Hybrid Data Security alkalmazást, amely véget vet a próbaidőszaknak, és visszahelyezi a próbaidőszak felhasználóit a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszak felhasználói elveszítik a hozzáférésüket a próbaidőszak alatt titkosított adatokhoz.
1

Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

2

A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre .

3

A Deaktiválás részben kattintson a gombra Inaktiválás .

4

Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot.

A HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.

Fürtfrissítési ütemezés beállítása

A Hybrid Data Security szoftverfrissítései automatikusan megtörténnek a fürtök szintjén, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververzió fusson. A frissítések a fürt frissítési ütemezésének megfelelően történnek. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van manuálisan frissíteni a fürtöt az ütemezett frissítési idő előtt. Beállíthat egy adott frissítési ütemezést, vagy használhatja az alapértelmezett ütemezést, a napi hajnali 3: AM at, Egyesült Államok: Amerika/Los Angeles. Szükség esetén dönthet úgy is, hogy elhalaszt egy közelgő frissítést.

A frissítés ütemezésének beállítása:

1

Jelentkezzen be a Control Hub szolgáltatásba.

2

Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság .

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna .

Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás .

Módosítsa a csomópont-konfigurációt

Alkalmanként előfordulhat, hogy olyan okok miatt kell módosítania a hibrid adatbiztonsági csomópont konfigurációját, mint például:

  • Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.


     

    Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.

  • Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.


     

    Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.

  • Hard reset — A régi jelszavak azonnal leállnak.

Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.

Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.

Mielőtt elkezdené

  • A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:

    Leírás

    Változó

    HTTP-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.

1

A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.

  1. A gépe parancssorában adja meg a környezetének megfelelő parancsot:

    Normál környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    Ez a lépés törli a HDS beállító eszköz korábbi képeit. Ha nincsenek korábbi képek, hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt:

    docker login -u hdscustomersro

  3. A jelszót kérő párbeszédpanelen adja meg ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legújabb stabil lemezképet a környezetéhez:

    Normál környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-környezetekben:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Győződjön meg arról, hogy ehhez az eljáráshoz a legújabb telepítőeszközt húzta ki. Az eszköz 2018. február 22-e előtt létrehozott verziói nem rendelkeznek a jelszó-visszaállítási képernyőkkel.

  5. Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Normál környezetben proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Normál környezetben HTTP proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Normál környezetben HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy nélküli FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS-proxyval rendelkező FedRAMP-környezetekben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható.

  6. Használjon böngészőt a helyi kiszolgálóhoz való csatlakozáshoz, http://127.0.0.1:8080.


     

    A telepítő eszköz nem támogatja a localhosthoz való csatlakozást http://localhost:8080 . Használathttp://127.0.0.1:8080 hogy csatlakozzon a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson a gombra Elfogadás hogy folytassa.

  8. Importálja az aktuális konfigurációs ISO -fájlt.

  9. Kövesse a képernyőn megjelenő utasításokat az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A Telepítő eszköz leállításához írja be a következőt: CTRL+C.

  10. Hozzon létre biztonsági másolatot a frissített fájlról egy másik adatközpont.

2

Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása .

  1. Telepítse a HDS-gazda OVA-t.

  2. Állítsa be a HDS VM.

  3. Csatlakoztassa a frissített konfigurációs fájl.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gép.

  2. A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre .

  3. Kattintás CD/DVD Drive 1, válassza ki az ISO -fájlból történő beillesztés opciót, és tallózással keresse meg azt a helyet, ahonnan az új konfigurációs ISO -fájlt letöltötte.

  4. Ellenőrizze Csatlakoztatás bekapcsoláskor .

  5. Mentse el a módosításokat, és kapcsolja be a virtuális gép.

4

Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton.

Kapcsolja ki a Blokkolt külső DNS -feloldási módot

Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.

Mielőtt elkezdené

Gondoskodjon arról, hogy a belső DNS -kiszolgálók fel tudják oldani a nyilvános DNS -neveket, és hogy a csomópontok kommunikálni tudnak velük.
1

Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be .

2

Ugrás ide: Áttekintés (az alapértelmezett oldal).

Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen .

3

Lépjen a következőre: Trust Store és Proxy oldalon.

4

Kattintson Ellenőrizze a proxykapcsolatot .

Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani.

Mi a következő teendő

Ismételje meg a proxykapcsolat tesztjét a Hybrid Data Security fürt minden egyes csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy Hybrid Data Security csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtről, törölje a virtuális gép , hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre .

  2. A Hybrid Data Security kártyán kattintson a gombra Összes megtekintése a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson Csomópontlista megnyitása .

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson Műveletek lehetőségre > Csomópont regisztrációjának törlése .

3

A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .)

Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás készenléti adatközpont segítségével

A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.

Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:

Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.

1

Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .

2

A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre

3

A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt, hogy a csomópont aktív legyen. A csomópont a konfigurálás után tudja kezelni a forgalmat. 


passiveMode: 'false'
4

Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt.

6

A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. .

7

Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.


 

Győződjön meg róla Csatlakoztatva és Csatlakoztatás bekapcsoláskor be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után léphessenek érvénybe.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig.

9

Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.


 

Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „passzív módban konfigurált KMS” nem jelenhet meg a syslogokban.

Mi a következő teendő

Ha a feladatátvétel után az elsődleges adatközpont ismét aktívvá válik, állítsa a készenléti adatközpont ismét passzív módba az alábbi lépések végrehajtásával: Készenléti adatközpont beállítása vész-helyreállításhoz .

(Opcionális) Az ISO leválasztása a HDS-konfiguráció után

A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot.

3

Válasszon Beállítások szerkesztése lehetőségre > CD/ DVD meghajtó és törölje a kijelölést Datastore ISO fájl .

4

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás.

5

Ismételje meg a műveletet minden HDS-csomópont esetében.

Hibrid adatbiztonsági hibaelhárítás

Figyelmeztetések és hibaelhárítás megtekintése

A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:

  • Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)

  • Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:

    • Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)

    • Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)

  • A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférési hiba.

Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat.

Helyi adatbázis kapcsolódási hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények .

Felhőszolgáltatás-regisztráció megújítása.

A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van.

A felhőszolgáltatás regisztrációja megszűnt.

A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését.

A beállított tartomány nem egyezik a kiszolgálótanúsítvány.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak.

A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től.

Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban.

A helyi kiszolgálótanúsítvány érvénytelen.

Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e.

Hibrid adatbiztonsági hibaelhárítás

A Hybrid Data Security problémáinak elhárítása során kövesse az alábbi általános irányelveket.
1

Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket.

2

Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre.

3

Kapcsolat lehetőségre Cisco-támogatás .

Egyéb megjegyzések

A hibrid adatbiztonsággal kapcsolatos ismert problémák

  • Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.

  • A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.

    Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).

Az OpenSSL használata PKCS12-fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.

  • Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.

  • Hozzon létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként hdsnode.pem.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt hdsnode-bundle.pem. A csomagfájlnak tartalmaznia kell a kiszolgálótanúsítvány, az esetleges közbenső CA-tanúsítványokat és a gyökér CA-tanúsítványokat, az alábbi formátumban: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

Hozzon létre egy .p12 fájlt a barátságos névvel kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgálótanúsítvány részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a képernyőn, hogy titkosítsa a privát kulcsot, hogy az szerepeljen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a vonalakat friendlyName: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

Mi a következő teendő

Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .


 

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS-csomópontok és a felhő között

Kimenő mérőszámgyűjtési forgalom

A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.

Bejövő forgalom

A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít

  • A csomóponti szoftver frissítése

Squid-proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud kapcsolódni a Squid-proxyn keresztül

A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.

Squid 4 és 5

Adja hozzá a on_unsupported_protocol utasítást squid.conf: 

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak. 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-es tanúsítvány előállításával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené
1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.

 passzívMód: 'igaz'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevét.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 6.5 (vagy újabb) telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

Készítse fel környezetét

1

Kezdeti beállítási és telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    Globális_ügynök_http: / /www.php.net_Proxy=http://KISZOLGÁLÓ_ip:port

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:

    • Adatbázis hitelesítő adatai

    • Tanúsítványfrissítések

    • Az engedélyezési szabályzat változásai

  • Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    Globális_ügynök_http: / /www.php.net_Proxy=http://KISZOLGÁLÓ_ip:port

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    dokkoló bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    dokkoló húzás ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.

 passzívMód: 'hamis'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 - text - noout - in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----

4

Hozza létre a .p12 fájlt kms-private-key névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. nyissa meg a pkcs12 -t a hdsnode.p12-ben

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a friendlyName vonalakat: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok:  Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS-----  -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány generálásával kapcsolatos részletekért lásd: Hibrid adatbiztonsági szolgáltatás követelményei (ebben a cikkben).

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.

 passzívMód: 'igaz'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevét.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    dokkoló bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    dokkoló húzás ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.

 passzívMód: 'hamis'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 - text - noout - in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----

4

Hozza létre a .p12 fájlt kms-private-key névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. nyissa meg a pkcs12 -t a hdsnode.p12-ben

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a friendlyName vonalakat: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok:  Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS-----  -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány generálásával kapcsolatos részletekért lásd: Hibrid adatbiztonsági szolgáltatás követelményei (ebben a cikkben).

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.

 passzívMód: 'igaz'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevét.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    dokkoló bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    dokkoló húzás ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.

 passzívMód: 'hamis'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 - text - noout - in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----

4

Hozza létre a .p12 fájlt kms-private-key névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. nyissa meg a pkcs12 -t a hdsnode.p12-ben

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a friendlyName vonalakat: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok:  Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS-----  -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány generálásával kapcsolatos részletekért lásd: Hibrid adatbiztonsági szolgáltatás követelményei (ebben a cikkben).

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.

 passzívMód: 'igaz'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevét.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    dokkoló bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    dokkoló húzás ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.

 passzívMód: 'hamis'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 - text - noout - in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----

4

Hozza létre a .p12 fájlt kms-private-key névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. nyissa meg a pkcs12 -t a hdsnode.p12-ben

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a friendlyName vonalakat: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok:  Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS-----  -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2025. január 30.

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány generálásával kapcsolatos részletekért lásd: Hibrid adatbiztonsági szolgáltatás követelményei (ebben a cikkben).

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.

 passzívMód: 'igaz'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevét.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    dokkoló bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    dokkoló húzás ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.

 passzívMód: 'hamis'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 - text - noout - in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----

4

Hozza létre a .p12 fájlt kms-private-key névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. nyissa meg a pkcs12 -t a hdsnode.p12-ben

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a friendlyName vonalakat: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok:  Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS-----  -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2025. január 30.

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel a HdsTrialGroup csoportobjektum próbaidőszak megkezdése előtt történő szinkronizálására, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány generálásával kapcsolatos részletekért lásd: Hibrid adatbiztonsági szolgáltatás követelményei (ebben a cikkben).

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.

 passzívMód: 'igaz'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta a passiveMode módot az ISO fájlban, és mentette, létrehozhat egy másik másolatot az ISO fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurált másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevét.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: rendszergazda

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, a HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, a HdsTrialGroup nevű próbacsoport kezeléséhez az Active Directory segítségével (ezen eljárás helyett) kezelheti; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT

    Http-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    dokkoló bejelentkezés -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    dokkoló húzás ciscocitg/hds-setup:stabil

    FedRAMP környezetben:

    dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

    Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton".

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.

 passzívMód: 'hamis'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 - text - noout - in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----

4

Hozza létre a .p12 fájlt kms-private-key névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. nyissa meg a pkcs12 -t a hdsnode.p12-ben

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a friendlyName vonalakat: kms-private-key.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok:  Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS-----  -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Módosítások

2025. március 3.

2025. január 30.

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A HDS-csomópontok telepítése előtt a Docker Desktopnak egy beállítóprogramot kell futtatnia. Lásd: Dokkoló asztali követelmények.

Június 24, 2021

Megjegyzendő, hogy a titkos kulcs fájlját és a CSR-t újra felhasználhatja egy másik tanúsítvány kéréséhez. Erről az OpenSSL használata PKCS12-fájl létrehozásához című oldalon tájékozódhat bővebben.

2021. április 30.

Módosította a helyi merevlemez-tárhely VM-követelményét 30 GB-ra. Erről a Virtuális szervezőre vonatkozó követelmények című oldalon tájékozódhat bővebben.

2021. február 24.

A HDS telepítőeszköz mostantól proxy mögött is futtatható. Erről a Konfigurációs ISO létrehozása a HDS-állomásokhoz című oldalon tájékozódhat bővebben.

2021. február 2.

A HDS mostantól csatlakoztatott ISO-fájl nélkül is futtatható. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

2021. január 11.

A Konfigurációs ISO létrehozása a HDS szervezők számára beállítási eszközről és proxykról további információ került hozzáadásra.

Október 13, 2020

Frissített Telepítési fájlok letöltése.

2020. október 8.

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissült a Konfigurációs ISO létrehozása a HDS-állomásoknál és a Csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissült a Hibrid adatbiztonsági szolgáltatás telepítésének tesztelése a naplóüzenetek módosításaira vonatkozóan.

Frissült a Virtuális szervezőre vonatkozó követelmények a szervezők maximális számának eltávolítása érdekében.

2020. június 16

Frissült a Csomópont eltávolítása a Control Hub felhasználói felületének módosításához.

2020. június 4

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára az Ön által beállított speciális beállítások módosításához.

2020. május 29

Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára , hogy megjelenítse, használhatja a TLS-t SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is.

2020. május 5

Frissítettük a Virtuális szervezőre vonatkozó követelményeket az ESXi 6.5 új követelményének megjelenítéséhez.

2020. április 21.

Frissült a Külső kapcsolódási követelmények az új Americas CI-állomásokkal.

2020. április 1.

Frissült a Külső kapcsolódási követelmények a regionális CI-állomásokra vonatkozó információkkal.

Február 20, 2020Frissült a Konfigurációs ISO létrehozása a HDS szervezők számára a HDS beállítóeszközben az új opcionális Speciális beállítások képernyőre vonatkozó információkkal.
2020. február 12.Frissített proxykiszolgáló-követelmények.
2019. december 16.Tisztázta a blokkolt külső DNS-feloldási mód követelményét a Proxykiszolgáló követelményei részben.
2019. november 19.

A blokkolt külső DNS-feloldási módra vonatkozó információ a következő szakaszokban került hozzáadásra:

2019. november 8.

Az OVA telepítése közben mostantól nem később, hanem később is konfigurálhatja a hálózati beállításokat a csomóponthoz.

A következő szakaszokat ennek megfelelően frissítették:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

2019. szeptember 6.

SQL Server Standard hozzáadva az Adatbázis-kiszolgáló követelményeihez.

2019. augusztus 29.Kiegészült a Squid-proxyk konfigurálása hibrid adatbiztonsági szolgáltatáshoz című függelékkel, amely útmutatást nyújt a Squid-proxyk konfigurálásához a websocket-forgalom megfelelő működése érdekében.
2019. augusztus 20.

A hibrid adatbiztonsági szolgáltatás-csomópontok Webex-felhővel folytatott kommunikációjának proxytámogatásával foglalkozó szakaszok kerültek hozzáadásra és frissítésre.

Ha csak a meglévő telepítéshez tartozó proxytámogatási tartalmat szeretné elérni, tanulmányozza át a Proxy támogatása a hibrid adatbiztonsági szolgáltatáshoz és a Webex Video Mesh súgócikket.

2019. június 13.Frissült a Próbaidőszak az éles feladatfolyamra egy emlékeztetővel, amely szinkronizálja a HdsTrialGroup csoportobjektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hibrid adatbiztonsági szolgáltatás-csomópontokká váló virtuális gazdagépek előkészítése során félreteendő helyi merevlemez-terület kiszolgálónkénti mennyiségét 50 GB-ról 20 GB-ra, hogy tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, és a titkosított naplózási kapcsolatokat egy TLS-kompatibilis syslog szerverhez. Frissített Konfigurációs ISO létrehozása a HDS Hosts számára utasításokkal.

  • Cél URL-címek eltávolítva a „Hibrid adatbiztonsági szolgáltatás-csomópontok VM-jei internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams-szolgáltatások hálózati követelményei „További URL-címek a Webex Teams Hybrid szolgáltatásokhoz” táblázatban található listára hivatkozik.

2019. január 24.

  • A hibrid adatbiztonsági szolgáltatás mostantól támogatja a Microsoft SQL Server-t adatbázisként. Az SQL Server Always On (Mindig bekapcsolt feladatátvételi fürtök és Mindig bekapcsolt elérhetőségi csoportok) funkciót a hibrid adatbiztonsági szolgáltatásban használt JDBC-illesztőprogramok támogatják. Az SQL Server alkalmazással való telepítéssel kapcsolatos tartalom került hozzáadásra.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

Megváltozott a terminológia, hogy tükrözze a Cisco Spark márkaváltását:

  • A Cisco Spark hibrid adatbiztonsági szolgáltatás mostantól hibrid adatbiztonsági szolgáltatás.

  • A Cisco Spark alkalmazás mostantól a Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól a Webex felhő.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 Tanúsítványkövetelmények táblázatban meghatározta, hogy a tanúsítvány nem lehet helyettesítő tanúsítvány, és hogy a KMS a CN tartományt használja, nem pedig az x.509v3 SAN mezőkben definiált tartományt.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálása tisztázva.

  • Javított utasítások az ISO konfigurációs fájl feltöltéséhez a VM csomópontokra való csatlakoztatáshoz.

2017. augusztus 18.

Először közzétéve

Első lépések a hibrid adatbiztonsági szolgáltatással

Hibrid adatbiztonsági áttekintés

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

  1. Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.

  4. A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány generálásával kapcsolatos részletekért lásd: Hibrid adatbiztonsági szolgáltatás követelményei (ebben a cikkben).

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás üzembe helyezéséhez jelentős ügyfél-elkötelezettség és a titkosítási kulcsok tulajdonosi kockázatainak ismerete szükséges.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

  • Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum a hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

  • Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, a telepítés tesztelését a felhasználók egy részhalmazán próbaidőszak módban, valamint a tesztelés befejeztével a gyártásra való áttérést. Ez az egész szervezetet átalakítja úgy, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

    A beállítási, a próbaidőszak és a gyártás szakaszait a következő három fejezet ismerteti részletesen.

  • A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Control Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail alapú riasztásokat.

  • A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Control Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Szervezetenként csak egy fürtöt támogatunk.

A hibrid adatbiztonsági szolgáltatás próbaidőszaki módja

A hibrid adatbiztonsági szolgáltatás telepítésének beállítása után először próbálja ki egy sor kísérleti felhasználóval. A próbaidőszak során ezek a felhasználók a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát használják titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhő biztonsági tartományát használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók és minden olyan felhasználó, akivel a próbaidőszak alatt új tárhelyek létrehozásával kapcsolatba lépett, elveszíti a hozzáférést az üzenetekhez és tartalmakhoz. A Webex alkalmazásban a „Ezt az üzenetet nem lehet visszafejteni” üzenet jelenik meg.

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, és készen áll arra, hogy a hibrid adatbiztonsági szolgáltatást minden felhasználójára kiterjessze, helyezze át a telepítést az éles módra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak során használt kulcsokhoz. A termelési mód és az eredeti próbaidőszak között azonban nem lehet előre-hátra mozogni. Ha inaktiválnia kell a szolgáltatást, például katasztrófa-helyreállítást kell végeznie, az újraaktiváláskor új próbaidőszakot kell kezdenie, és be kell állítania a kísérleti felhasználók készletét az új próbaidőszakhoz, mielőtt visszatérne az éles módba. Az, hogy a felhasználók megtartják-e az adatokhoz való hozzáférést ezen a ponton, attól függ, hogy sikeresen karbantartotta-e a fürtben található hibrid adatbiztonsági szolgáltatás-csomópontok kulcsadattárának és ISO-konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális feladatátvitel a készenléti adatközpontba

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt. A készenléti adatközpont ISO fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva vannak a szervezethez, de nem kezelik a forgalmat. Ezért a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása a katasztrófa-helyreállításhoz

A készenléti adatközpont ISO fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a VM-ek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van. (A feladatátvételi modell áttekintését lásd: Készenléti adatközpont a katasztrófa-helyreállításhoz .)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

Az ISO fájlnak az elsődleges adatközpont eredeti ISO fájljának másolata kell lennie, amelyre a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív üzemmódba állításához. Ebben az üzemmódban a csomópont regisztrálva lesz a szervezetnél és kapcsolódik a felhőhöz, de nem kezeli a forgalmat.


passiveMode: 'true'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. Láthatja a „Passzív módban konfigurált KMS” üzenetet a rendszernaplókban.

Mi a következő teendő

Miután konfigurálta passiveMode az ISO-fájlban, és mentette, létrehozhat egy másik példányt az ISO-fájlból a passiveMode konfiguráció nélkül, és mentheti egy biztonságos helyen. Az ISO fájlnak ez a passiveMode konfigurálás nélküli másolása segíthet a gyors feladatátvételi folyamatban a katasztrófa-helyreállítás során. A részletes feladatátvételi eljárásról a Készenléti adatközpont segítségével című oldalon tájékozódhat.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A hibrid adatbiztonsági szolgáltatás telepítéséhez:

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

A Docker Desktop licenccel nem rendelkező ügyfelek nyílt forráskódú tárolókezelő eszközt (például a Podman Desktop) használhatnak konténerek futtatására, kezelésére és létrehozására. Erről a HDS-beállító eszköz futtatása a Podman Desktop használatával című oldalon tájékozódhat bővebben.

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírt

Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.

  • Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését

  • Nem helyettesítő kód tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * karaktert (helyettesítő karaktert).

A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását. Válasszon ki egy olyan tartományt, amely mind a próbaverzióra, mind az éles üzembe helyezésre alkalmazható.

  • Nem SHA1-aláírás

A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS #12 fájlként formázva

  • A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkével való ellátásához használja kms-private-key a felhasználónevet.

A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t.

A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

  • Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve

  • A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint

PostgreSQL csevegés

Microsoft SQL kiszolgáló

  • A PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Az SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) telepítve van.

    Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.

  • A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.

  • A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

    A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás

Protokoll

Port

Irány az alkalmazásból

Cél

Hibrid adatbiztonsági szolgáltatás-csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex-kiszolgálók:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity-szervező

  • A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban

HDS-beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity-szervező

  • hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió

Common Identity Host URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma előfordul, a forgalom wbx2.com és ciscospark.com közötti megkerülése megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomaggal, és kérje le egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez.

2

Válasszon ki egy tartománynevet a HDS telepítéséhez (például hds.company.com), és szerezzen be egy X.509 tanúsítványt, privát kulcsot és bármely köztes tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.

3

Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel.

  1. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.)

  2. Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak:

    • a gazdagép neve vagy IP-címe (gazdagép) és a port

    • az adatbázis neve (dbname) a kulcstároláshoz

    • a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava

5

A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.

6

Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).

7

Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.

8

Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.

9

Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080.

A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Előfordulhat, hogy szervezetének szüksége van Docker asztali licencre. További információkért lásd: Docker asztali követelmények .

A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.

10

Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

11

Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroup nevű csoportot az Active Directoryban, és adjon hozzá kísérleti felhasználókat. A próbacsoportban legfeljebb 250 felhasználó lehet. Az HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt próbaidőszakot indíthatna a szervezet számára. Csoportobjektum szinkronizálásához válassza ki azt a címtárösszekötő Konfiguráció > Objektum kiválasztása menüjében. (Részletes utasításokért tekintse meg a Cisco Directory Connector telepítési útmutatóját.)

Az adott szoba kulcsait a szoba létrehozója állítja be. A kísérleti felhasználók kiválasztásakor vegye figyelembe, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott szobák tartalmához. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1

Telepítési fájlok letöltése

Töltse le az OVA-fájlt a helyi gépre későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.

3

A HDS Host OVA telepítése

Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

4

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.

5

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.

7

A fürtben lévő első csomópont regisztrálása

Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem kezdi a próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatása még nincs aktiválva.

Telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.
1

Jelentkezzen be ide: https://admin.webex.com, majd kattintson a Szolgáltatások lehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson a Beállításelemre.

Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókcsapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje meg, hogy engedélyezze szervezete számára a hibrid adatbiztonsági szolgáltatást. A fiók számának megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheti a Beállítások oldal Súgó részéből is. A hibrid adatbiztonsági kártyán kattintson a Beállítások szerkesztése lehetőségre az oldal megnyitásához. Ezután kattintson a Súgó részen található Hibrid adatbiztonsági szoftver letöltése elemre.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le.

3

Válassza a Nem lehetőséget, jelezve, hogy még nem állította be a csomópontot, majd kattintson a Tovább gombra.

Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

docker login -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg az ügyfél adminisztrátori felhasználónevét a Control Hubhoz a rákérdezésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfélrendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

  • Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
  • Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.
10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

  • Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
  • Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

  1. Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.

  2. (Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:

    • Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.

    • Windows-hitelesítés: A username@DOMAINFelhasználónév mezőben található formátumú Windows-fiókra van szükség.

  3. Adja meg az adatbázis-kiszolgáló címét a következő formátumban: : vagy :.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

    Ha Windows-hitelesítést használ, akkor a következő formátumban kell megadnia a teljes tartománynevet: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

  1. Adja meg a syslog szerver URL-címét.

    Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

    Példa:
    udp://10.92.43.23:514 a 10.92.43.23-as Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.

  2. Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

    Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.

  3. A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén

    • Null bájt -- \x00

    • Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.

  4. Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxSize: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a következőt: CTRL+C.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.

2

Válassza a Fájl > OVF-sablon telepítése lehetőséget.

3

A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra.

Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.

6

Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.

7

Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.

8

A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét.

    • Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

    • A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0.
  • Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál.
  • DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől.

Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.

11

Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget.

A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1

A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot.

A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel.

Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.

6

Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

  1. A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.

  2. A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.

  3. Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.

  4. Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.

  5. Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.

  6. Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.

  3. Kattintson a CD/DVD Drive 1gombra, válassza ki az ISO-fájl adatsorból való csatlakoztatásának lehetőségét, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.

  4. Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.

  5. Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP or FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezés gombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításelemre.

Megjelenik a Hibrid adatbiztonsági szolgáltatás-csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget, jelezve, hogy beállította a csomópontot, és készen áll a regisztrációra, majd kattintson a Tovább gombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot.

Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"

6

A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt.

Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7

Kattintson az Ugrás a csomópontra lehetőségre.

8

Kattintson a Folytatás gombra a figyelmeztető üzenetben.

Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
10

Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A Hibrid adatbiztonsági szolgáltatás oldalon megjelenik az Ön által regisztrált csomópontot tartalmazó új fürt. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Jelenleg a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése részben létrehozott biztonsági mentési VM-ek készenléti szervezők, amelyeket csak katasztrófa-helyreállítás esetén használnak; addig nem regisztráltak a rendszerben. További részletekért lásd: Vészhelyreállítási készenléti adatközpont használatával.

Mielőtt elkezdené

  • Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.

  • Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1

Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.

2

Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás beállítása lépéseit.

3

Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.

4

Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.

5

Regisztrálja a csomópontot.

  1. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a hibrid adatbiztonsági kártya, majd kattintson az Erőforrásokelemre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadása lehetőségre.

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Tovább gombra.

    Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe.

  6. Kattintson az Ugrás a csomópontra lehetőségre.

    Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra.

    Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.

  8. Kattintson a hivatkozásra, vagy zárja be a fület, hogy visszatérjen a Control Hub hibrid adatbiztonsági szolgáltatás oldalára.

A csomópont regisztrálva van. Ne feledje, hogy amíg nem indít próbaidőszakot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próbaverzió futtatása és váltás a produkcióra (következő fejezet)

Próbaverzió futtatása és váltás a produkcióra

Próbaidőszak–éles munkafolyamat

Miután beállította a hibrid adatbiztonsági szolgáltatás-fürtöt, elindíthat egy pilótát, hozzáadhat hozzá felhasználókat, és elkezdheti használni a telepítés teszteléséhez és ellenőrzéséhez, felkészülve az éles életre.

Mielőtt elkezdené

Hibrid adatbiztonsági szolgáltatás-fürt beállítása
1

Ha szükséges, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, akkor a próbaidőszak megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe történő szinkronizáláshoz. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

2

Próbaidőszak aktiválása

Kezdjen próbaidőszakot. Amíg nem végzi el ezt a feladatot, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.

3

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ellenőrizze, hogy a kulcskérések átkerülnek-e a hibrid adatbiztonsági szolgáltatás-telepítésre.

4

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

Ellenőrizze az állapotot, és állítsa be az e-mail-értesítéseket a riasztásokhoz.

5

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

6

Fejezze be a próbaidőszakot az alábbi műveletek egyikével:

Próbaidőszak aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot a felhőbe való szinkronizáláshoz, mielőtt próbaidőszakot indíthatna a szervezet számára. Útmutatásért lásd: A Cisco Directory Connector telepítési útmutatója.

1

Jelentkezzen be ide: https://admin.webex.com, majd válassza a Szolgáltatások lehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatási állapot részben kattintson a Próbaidőszak indítása lehetőségre.

A szolgáltatás állapota próbaidőszak módra változik.
4

Kattintson a Felhasználók hozzáadása lehetőségre, és adja meg annak a felhasználónak az e-mail-címét, aki a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatások kipróbálásához való használatával kísérletezhet.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, HdsTrialGroup.)

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági szolgáltatás telepítését.

  • Aktiválja a próbaidőszakot, és adjon hozzá több próbafelhasználót.

  • Bizonyosodjon meg arról, hogy hozzáférése van a syslog-hoz, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatás-telepítéshez.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az egyik kísérleti felhasználóként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a kísérleti felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

  1. Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrje a következőket: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrje a következő elemeket: kms.data.method=retrieve és kms.data.type=KEY:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a következőket: kms.data.method=create és kms.data.type=KEY_COLLECTION:

    Olyan bejegyzést kell találnia, mint:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha meg szeretné tekinteni, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri egy tér vagy más védett erőforrás létrehozásakor, szűrje a következőket: kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

    Olyan bejegyzést kell találnia, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Control Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.
1

A Control Hubban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, majd kattintson a Beállításokelemre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból

Miután aktiválta a próbaidőszakot, és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó ügyfele a kulcsokat és a kulcsok létrehozását a felhőalapú KMS-ből fogja kérni a KMS helyett. Ha az ügyfélnek a KMS-en tárolt kulcsra van szüksége, a felhőalapú KMS a felhasználó nevében veszi le.

Ha a szervezet címtár-szinkronizálást használ, akkor (ezen eljárás helyett) az Active Directory segítségével kezelheti a próbacsoportot, HdsTrialGroup; a csoport tagjait megtekintheti a Control Hubban, de nem adhatja hozzá, illetve nem távolíthatja el őket.

1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota terület Próbaidőszak mód szakaszában kattintson a Felhasználók hozzáadása elemre, vagy kattintson a megtekintés és szerkesztés gombra a felhasználók próbaidőszakból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail-címét, vagy kattintson a felhasználói azonosító melletti X -re, ha szeretné eltávolítani a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra .

Áthelyezés a próbaidőszakból az éles módba

Ha elégedett azzal, hogy az üzembe helyezés jól működik a próbafelhasználók számára, áttérhet az éles módra. Amikor áttér a termelésre, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági szolgáltatás-tartományát fogja használni a titkosítási kulcsokhoz és egyéb biztonságtartományi szolgáltatásokhoz. Éles módba nem léphet vissza próbaidőszaki módba, hacsak nem inaktiválja a szolgáltatást a katasztrófa-helyreállítás részeként. A szolgáltatás újraaktiválásához új próbaidőszak beállítása szükséges.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés a gyártásba lehetőségre.

4

Erősítse meg, hogy az összes felhasználót át szeretné helyezni a produkcióba.

Fejezze be a próbaidőszakot anélkül, hogy áttérne a produkcióra

Ha a próbaidőszak során úgy dönt, hogy nem folytatja a hibrid adatbiztonsági szolgáltatás telepítését, inaktiválhatja a hibrid adatbiztonsági szolgáltatást, amely befejezi a próbaidőszakot, és áthelyezi a próbafelhasználókat a felhőalapú adatbiztonsági szolgáltatásokba. A próbaidőszak felhasználói elveszítik a próbaidőszak során titkosított adatokhoz való hozzáférést.
1

Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság menüpontban kattintson a Beállításokelemre.

3

Az Inaktiválás részben kattintson az Inaktiválásgombra.

4

Erősítse meg, hogy szeretné inaktiválni a szolgáltatást, és fejezze be a próbaidőszakot.

HDS-telepítés kezelése

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások csoportban válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások alatt válassza ki a fürt nevét.

5

A Beállítások oldalon a Frissítés alatt válassza ki a frissítési ütemezéshez tartozó időt és időzónát.

Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás gombra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha nem rendelkezik Docker asztali licenccel, akkor a Podman Desktop segítségével futtathatja a HDS telepítőeszközt az alábbi eljárás 1.a–1.e lépéseihez. Erről a HDS-beállító eszköz futtatása a Podman Desktop használatával című oldalon tájékozódhat bővebben.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    docker login -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP környezetben:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A beállítóeszköz leállításához gépelje be a következőt: CTRL+C.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson a CD/DVD Drive 1 gombra, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.
1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

  1. Jelentkezzen be a Control Hub rendszerébe, majd válassza a Szolgáltatásoklehetőséget.

  2. A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitása lehetőségre.

  5. A Csomópontok lapon válassza ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek > Csomópont regisztrációjának törlése lehetőségre.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

1

Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállítások lehetőségre

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktiválásához. A csomópont tudja kezelni a forgalmat, miután ez konfigurálva van.


passiveMode: 'false'

4

Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

6

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson a jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

7

Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.

8

Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.

9

Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Ellenőrizze a syslog-kimenetet, és ellenőrizze, hogy a készenléti adatközpont csomópontjai nincsenek-e passzív módban. A „Passzív módban konfigurált KMS” nem jelenhet meg a rendszernaplókban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktív lesz, helyezze a készenléti adatközpontot passzív üzemmódba a Készenléti adatközpont beállítása a katasztrófakezeléshez című részben leírt lépések követésével.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1

Állítsa le az egyik HDS-csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.

4

Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.

5

Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

  • Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)

  • Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:

    • Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)

    • Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)

  • A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Nem sikerült csatlakozni a helyi adatbázishoz.

Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.

Sikertelen volt a felhőszolgáltatás-hozzáférés.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.

A felhőszolgáltatás regisztrációjának megújítása.

A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaidőszakot, vagy fejezze be a próbaidőszak éles állapotba helyezését.

A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.

Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal.

A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.

A felhőszolgáltatásokhoz való hitelesítés sikertelen.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstár fájlját.

Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.

A helyi kiszolgáló tanúsítványa érvénytelen.

Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.

Nem lehet mérőszámokat közzétenni.

Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.

A /media/configdrive/hds könyvtár nem létezik.

Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.
1

Ellenőrizze a Control Hubban a riasztásokat, és javítsa ki az ott található elemeket.

2

Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét.

3

Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

  • Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Control Hubban történő törléssel, vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcsrakész-adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatnak olyan szobákat a Személyek listában, amelyek a KMS-ből kulcsokkal lettek létrehozva. Ez mind a próbaidőszaki, mind az éles üzembe helyezésekre vonatkozik. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.

  • Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági szolgáltatás próbaidőszakának tagjává válik, a felhasználó ügyfele a meglévő ECDH-kapcsolatot használja, amíg időtúllépés nem jár. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amellyel az alkalmazás kapcsolatba lép a titkosítási kulcsok esetén.

    Ugyanez a viselkedés történik, amikor egy próbaidőszakot áthelyez a szervezet termelésére. Minden olyan, nem próbaidőszakon kívüli felhasználó, aki meglévő ECDH-kapcsolattal rendelkezik a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is ezeket a szolgáltatásokat fogja használni, amíg az ECDH-kapcsolatot át nem tárgyalják (időtúllépés vagy kijelentkezés és újbóli bejelentkezés révén).

HDS-beállítóeszköz futtatása a Podman Desktop használatával

A Podman egy ingyenes és nyílt forráskódú konténerkezelő eszköz, amely lehetőséget biztosít a konténerek futtatására, kezelésére és létrehozására. A Podman Desktop letölthető innen: https://podman-desktop.io/downloads.

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. A hozzáféréshez töltse le és futtassa a Podman programot azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:

    • Adatbázis hitelesítő adatai

    • Tanúsítványfrissítések

    • Az engedélyezési szabályzat változásai

  • Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

podman rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

podman login docker.io -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

podman pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál környezetben HTTPS proxyval:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

Mi a következő teendő

Az ISO konfiguráció létrehozásához vagy módosításához kövesse az ISO-konfiguráció létrehozása a HDS-kiszolgálók számára vagy a Csomópont konfigurációjának módosítása című rész hátralévő lépéseit.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.

  • Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.

  • Hozzon létre egy privát kulcsot.

  • Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse hdsnode.pem formátumban.

2

A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket.

openssl x509 -text -noout -in hdsnode.pem

3

Használjon szövegszerkesztőt egy hdsnode-bundle.pem nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Hozza létre a .p12 fájlt a kms-private-key barátságos névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a kiszolgáló tanúsítványának részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a(z) friendlyName: kms-private-key vonalakat.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni a HDS-szervezők ISO-konfigurációjának létrehozása menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérelem sorának hosszát magában foglaló riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

  • Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések

  • A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk akadályozhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan lehet a Squid különböző verzióit úgy konfigurálni, hogy figyelmen kívül hagyják a wss: forgalmat a szolgáltatások megfelelő működéséhez.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a következőhöz: squid.conf

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonsági szolgáltatást a következőhöz adott hozzá: squid.conf. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Előszó

Új és módosított információk

Dátum

Végrehajtott változtatások

2025. május 8.

2025. március 3.

2025. január 30.

2025. január 7.

2023. október 20.

2023. augusztus 7.

2023. május 23.

2022. december 6.

2022. november 23.

2021. október 13.

A Docker Desktopnak telepítőprogramot kell futtatnia a HDS csomópontok telepítése előtt. Lásd: Docker asztali számítógép követelményei.

Június 24, 2021

Megjegyzendő, hogy a privát kulcsfájlt és a CSR-t újra felhasználhatja egy másik tanúsítvány igényléséhez. Részletekért lásd: PKCS12 fájl létrehozása OpenSSL használatával.

2021. április 30.

A virtuális gép helyi merevlemez-területére vonatkozó követelményét 30 GB-ra módosította. A részletekért lásd a Virtuális gazdagép követelményeit.

2021. február 24.

A HDS Setup Tool mostantól proxy mögött is futtatható. Részletekért lásd a Konfigurációs ISO létrehozása a HDS-gazdagépekhez című részt.

2021. február 2.

A HDS mostantól csatolt ISO fájl nélkül is futtatható. A részletekért lásd a (Opcionális) ISO leválasztása HDS konfiguráció után című részt.

2021. január 11.

Hozzáadtam információkat a HDS beállító eszközről és a proxykról a Konfigurációs ISO létrehozása a HDS hosztokhozcímű dokumentumhoz.

Október 13, 2020

Frissítve Telepítőfájlok letöltése.

2020. október 8.

Frissítve: Konfigurációs ISO létrehozása a HDS-gazdagépekhez és A csomópont-konfiguráció módosítása FedRAMP környezetekhez tartozó parancsokkal.

14. augusztus 2020.

Frissítve: Konfigurációs ISO létrehozása a HDS-gazdagépekhez és A csomópont konfigurációjának módosítása a bejelentkezési folyamat módosításaival.

2020. augusztus 5

Frissítve a Hibrid adatbiztonsági telepítés tesztelése című dokumentumban a naplóüzenetek változásai.

Frissítve a Virtuális gazdagépekre vonatkozó követelményeket a gazdagépek maximális számának eltávolításával.

2020. június 16

Frissítve a Csomópont eltávolítása részt a Control Hub felhasználói felületén történt változások miatt.

2020. június 4

Frissítve Konfigurációs ISO létrehozása a HDS-gazdagépekhez a speciális beállításokban esetleg megadott módosításokhoz.

2020. május 29

Frissítettük a Konfigurációs ISO létrehozása a HDS-gazdagépekhez című részt, hogy bemutassuk, hogyan használható a TLS SQL Server adatbázisokkal, a felhasználói felület változásait és egyéb pontosításokat.

2020. május 5

Frissítettük a Virtuális gazdagép követelményeit, hogy látható legyen az ESXi 6.5 új követelménye.

2020. április 21.

Frissítettük a Külső csatlakozási követelményeket az új Americas CI-hosztokkal.

2020. április 1.

Frissítve a Külső csatlakozási követelmények a regionális CI-gazdagépekre vonatkozó információkkal.

Február 20, 2020Frissítve a Konfigurációs ISO létrehozása a HDS Hostokhoz című részt az új, opcionális Speciális beállítások képernyőjével a HDS Setup Toolban.
2020. február 12.Frissítve A proxy szerver követelményei.
2019. december 16.Pontosítottuk a Blokkolt külső DNS-feloldási mód működésének követelményét a Proxykiszolgáló követelményeirészben.
2019. november 19.

A következő szakaszokban további információk jelentek meg a Blokkolt külső DNS-feloldási módról:

2019. november 8.

Mostantól a csomópont hálózati beállításait az OVA telepítése közben konfigurálhatja, nem pedig utána.

A következő szakaszokat ennek megfelelően frissítettük:

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét az ESXi 6.5-tel tesztelték. Előfordulhat, hogy a lehetőség a korábbi verziókban nem érhető el.

2019. szeptember 6.

Hozzáadva az SQL Server Standard az Adatbázis-kiszolgálói követelményekhez.

2019. augusztus 29.Hozzáadva a Squid proxyk konfigurálása hibrid adatbiztonsághoz függelék, amely útmutatást nyújt a Squid proxyk konfigurálásához a websocket forgalom figyelmen kívül hagyására a megfelelő működés érdekében.
2019. augusztus 20.

Hozzáadtunk és frissítettük a hibrid adatbiztonsági csomópont Webex felhővel való kommunikációjának proxy támogatását tárgyaló szakaszokat.

Ha csak egy meglévő telepítés proxytámogatási tartalmát szeretné elérni, tekintse meg a Proxytámogatás a hibrid adatbiztonsághoz és a Webex Video Mesh-hez című súgócikket.

2019. június 13.Frissítettük a Próbaverzióról éles verzióra való átállási feladatfolyamatot egy emlékeztetővel a HdsTrialGroup csoportobjektum szinkronizálására a próbaverzió megkezdése előtt, ha a szervezet címtár-szinkronizálást használ.
2019. március 6.
2019. február 28.

  • Kijavítottuk a Hybrid Data Security csomópontokká váló virtuális hosztok előkészítésekor félreteendő helyi merevlemez-terület mennyiségét szerverenként 50 GB-ról 20 GB-ra, hogy az tükrözze az OVA által létrehozott lemez méretét.

2019. február 26.

  • A hibrid adatbiztonsági csomópontok mostantól támogatják a titkosított kapcsolatokat a PostgreSQL adatbázis-kiszolgálókkal, valamint a titkosított naplózási kapcsolatokat egy TLS-képes syslog-kiszolgálóval. Frissítettük a Konfigurációs ISO létrehozása a HDS-gazdagépekhez című dokumentumot az utasításokkal.

  • Eltávolította a cél URL-eket a „Hibrid adatbiztonsági csomópont virtuális gépek internetkapcsolati követelményei” táblázatból. A táblázat mostantól a Webex Teams szolgáltatások hálózati követelményei„További URL-címek a Webex Teams hibrid szolgáltatásokhoz” táblázatában szereplő listára hivatkozik.

2019. január 24.

  • A Hybrid Data Security mostantól támogatja a Microsoft SQL Servert adatbázisként. Az SQL Server Always On (Always On feladatátvevő fürtök és Always on Availability Groups) szolgáltatást a hibrid adatbiztonságban használt JDBC-illesztőprogramok támogatják. Hozzáadott tartalom az SQL Serverrel történő telepítéssel kapcsolatban.

    A Microsoft SQL Server támogatása csak a hibrid adatbiztonsági szolgáltatás újonnan telepített változataira vonatkozik. Jelenleg nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését egy meglévő telepítésben.

2018. november 5.
2018. október 19.

2018. július 31.
2018. május 21.

A terminológia megváltozott a Cisco Spark átnevezésének megfelelően:

  • A Cisco Spark Hybrid Data Security mostantól Hybrid Data Security néven fut.

  • A Cisco Spark alkalmazás neve mostantól Webex alkalmazás.

  • A Cisco Collaboraton Cloud mostantól Webex felhő néven fut.

2018. április 11.
2018. február 22.
2018. február 15.

  • Az X.509 tanúsítványkövetelmények táblázatban meg van adva, hogy a tanúsítvány nem lehet helyettesítő karakteres tanúsítvány, és hogy a KMS a CN-tartományt használja, nem pedig az x.509v3 SAN-mezőkben definiált tartományokat.

2018. január 18.

2017. november 2.

  • A HdsTrialGroup címtár-szinkronizálásának pontosítása.

  • Kijavítottuk az ISO konfigurációs fájl feltöltésére vonatkozó utasításokat a virtuálisgép-csomópontokhoz való csatlakoztatáshoz.

2017. augusztus 18.

Első kiadás

Ismerkedés a hibrid adatbiztonsággal

Hibrid adatbiztonság áttekintése

A Webex alkalmazás tervezésének első napjától kezdve az adatbiztonság volt a fő hangsúly. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex alkalmazás kliensei a kulcskezelő szolgáltatással (KMS) való interakció révén tesznek lehetővé. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App ügyfél végpontok közötti titkosítást kap dinamikus kulcsokkal, amelyek a felhőalapú KMS-ben, a Cisco biztonsági területén tárolódnak. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

Biztonsági birodalom architektúra

A Webex felhőarchitektúrája a különböző típusú szolgáltatásokat különálló tartományokba, vagyis bizalmi tartományokba választja szét, az alábbiak szerint.

A szétválás birodalmai (hibrid adatbiztonság nélkül)

A hibrid adatbiztonság jobb megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco minden funkciót biztosít a felhőalapú területein. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például e-mail címükkel, logikailag és fizikailag is elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják, a C adatközpontban.

Ezen az ábrán a kliens a felhasználó laptopján futó Webex alkalmazás, amely hitelesítette magát az identitásszolgáltatással. Amikor a felhasználó üzenetet ír egy térbe küldendő üzenetre, a következő lépések történnek:

  1. A kliens biztonságos kapcsolatot létesít a kulcskezelő szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, és a KMS AES-256 mesterkulccsal titkosítja a kulcsot.

  2. Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre a tartalom jövőbeli kereséseinek megkönnyítése érdekében.

  3. A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzés céljából.

  4. A titkosított üzenet a tárolási tartományban tárolódik.

A Hybrid Data Security telepítésekor a biztonsági funkciókat (KMS, indexelés és megfelelőség) a helyszíni adatközpontba helyezi át. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitás- és tartalomtárolást) továbbra is a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetében lévő felhasználók rendszeresen használhatják a Webex alkalmazást más szervezetek külső résztvevőivel való együttműködésre. Amikor az egyik felhasználód kulcsot kér egy olyan területhez, amelynek a szervezeted a tulajdonosa (mert azt az egyik felhasználód hozta létre), a KMS rendszered egy ECDH biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Amikor azonban egy másik szervezet birtokolja a tárhely kulcsát, a KMS egy külön ECDH csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy a megfelelő KMS-től szerezze be a kulcsot, majd az eredeti csatornán visszaküldi a kulcsot a felhasználónak.

Az „A” szervezeten futó KMS szolgáltatás x.509 PKI tanúsítványok használatával ellenőrzi a más szervezetek KMS-rendszereihez való kapcsolatokat. A hibrid adatbiztonsági telepítéssel használható x.509 tanúsítvány létrehozásával kapcsolatos részletekért lásd a Hibrid adatbiztonságra vonatkozó követelmények című részt (ebben a cikkben).

Elvárások a hibrid adatbiztonság bevezetésével kapcsolatban

A hibrid adatbiztonsági telepítés jelentős ügyfél-elkötelezettséget és a titkosítási kulcsok birtoklásával járó kockázatok tudatosítását igényli.

A hibrid adatbiztonság telepítéséhez a következőket kell biztosítania:

A Hybrid Data Securityhez létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a Webex alkalmazásban található űrtartalmakat és más titkosított adatokat. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

  • Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.

  • Készüljön fel a gyors katasztrófa utáni helyreállításra katasztrófa esetén, például adatbázislemez meghibásodása vagy adatközponti katasztrófa esetén.

Nincs olyan mechanizmus, amellyel a kulcsokat vissza lehetne helyezni a felhőbe egy HDS telepítés után.

Magas szintű beállítási folyamat

Ez a dokumentum egy hibrid adatbiztonsági telepítés beállítását és kezelését ismerteti:

  • Hibrid adatbiztonság beállítása— Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szoftver telepítését, a telepítés tesztelését egy felhasználói csoporttal próbaüzemmódban, majd a tesztelés befejezése után az éles környezetbe való áttérést. Ezáltal a teljes szervezet a hibrid adatbiztonsági fürtöt használja biztonsági funkciókhoz.

    A beállítási, próba- és gyártási fázisokat a következő három fejezet részletesen tárgyalja.

  • Hibrid adatbiztonsági telepítésének fenntartása— A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén igénybe veheti a Cisco támogatását. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail alapú riasztásokat állíthat be.

  • Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat— Ha problémákba ütközik a hibrid adatbiztonság telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függeléke segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatközponton belül a Hybrid Data Security megoldást egyetlen csomópont-fürtként telepítheti különálló virtuális hosztokon. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA fájlt, amellyel beállíthatja a virtuális készüléket az Ön által biztosított virtuális gépeken. A HDS Setup Tool segítségével létrehozhat egy egyéni fürtkonfigurációs ISO-fájlt, amelyet minden csomópontra csatlakoztathat. A Hybrid Data Security klaszter a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS Setup Toolban konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Egy klaszterben lévő csomópontok minimális száma kettő. Klaszterenként legalább hármat javaslunk. Több csomópont megléte biztosítja, hogy a szolgáltatás ne szakadjon meg szoftverfrissítés vagy egyéb karbantartási tevékenység során egy csomóponton. (A Webex felhő egyszerre csak egy csomópontot frissít.)

Egy fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységeket. Maguk a csomópontok állapot nélküliek, és a kulcsfontosságú kéréseket körforgásos módon kezelik, a felhő utasításainak megfelelően.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hub-ban. Egy adott csomópont szolgáltatásból való kivonásához törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Szervezetenként csak egyetlen klasztert támogatunk.

Hibrid adatbiztonsági próbaüzemmód

A hibrid adatbiztonsági telepítés beállítása után először egy kísérleti felhasználói csoporttal próbálja ki. A próbaidőszak alatt ezek a felhasználók a helyszíni Hybrid Data Security tartományt használják titkosítási kulcsokhoz és egyéb biztonsági tartományszolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági területet használja.

Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és inaktiválja a szolgáltatást, a tesztfelhasználók és azok a felhasználók, akikkel a próbaidőszak alatt új terek létrehozásával kapcsolatba léptek, elveszítik a hozzáférést az üzenetekhez és a tartalomhoz. A „Ez az üzenet nem fejthető vissza” üzenetet fogják látni a Webex alkalmazásban.

Ha meggyőződött arról, hogy a telepítés jól működik a próbafelhasználók számára, és készen áll arra, hogy kiterjessze a Hybrid Data Security-t az összes felhasználójára, akkor áthelyezheti a telepítést az éles környezetbe. A kísérleti felhasználók továbbra is hozzáférhetnek azokhoz a kulcsokhoz, amelyeket a próbaidőszak alatt használtak. Azonban nem válthat oda-vissza az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például katasztrófa utáni helyreállításhoz, akkor az újraaktiváláskor új próbaverziót kell indítania, és be kell állítania a kísérleti felhasználók csoportját az új próbaverzióhoz, mielőtt visszatérne az éles üzemmódba. Az, hogy a felhasználók továbbra is hozzáférnek-e az adatokhoz, attól függ, hogy sikeresen megőrizte-e a fürtben található hibrid adatbiztonsági csomópontok kulcsadattárának és ISO konfigurációs fájljának biztonsági mentését.

Készenléti adatközpont katasztrófa utáni helyreállításhoz

A telepítés során egy biztonságos készenléti adatközpontot állít be. Adatközponti katasztrófa esetén manuálisan is áthelyezheti a telepítést a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpont aktív HDS-csomópontokkal és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázissal rendelkezik, míg a B adatközpont az ISO-fájl egy másolatával rendelkezik további konfigurációkkal, a szervezethez regisztrált virtuális gépekkel és egy készenléti adatbázissal. Feladatátvétel után a B adatközpont aktív HDS-csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A adatközpont nem regisztrált virtuális gépekkel és az ISO-fájl egy másolatával rendelkezik, az adatbázis pedig készenléti módban van.
Manuális átállás készenléti adatközpontba

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, ami minimalizálja a feladatátvétel végrehajtásához szükséges időt. A készenléti adatközpont ISO-fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de ne kezeljék a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.

Az aktív hibrid adatbiztonsági csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Készenléti adatközpont beállítása katasztrófa utáni helyreállításhoz

A készenléti adatközpont ISO-fájljának konfigurálásához kövesse az alábbi lépéseket:

Mielőtt elkezdené

  • A készenléti adatközpontnak tükröznie kell a virtuális gépek termelési környezetét és egy tartalék PostgreSQL vagy Microsoft SQL Server adatbázist. Például, ha az éles környezetben 3 virtuális gépen fut HDS-csomópontok, akkor a biztonsági mentési környezetben is 3 virtuális gépnek kell lennie. (A feladatátvételi modell áttekintését lásd a Készenléti adatközpont katasztrófa utáni helyreállításhoz című dokumentumban.)

  • Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.

1

Indítsa el a HDS Setup eszközt, és kövesse a Konfigurációs ISO létrehozása a HDS-állomásokhozcímű részben említett lépéseket.

Az ISO-fájlnak az elsődleges adatközpont eredeti ISO-fájljának másolatának kell lennie, amelyen a következő konfigurációs frissítéseket el kell végezni.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállításokgombra.

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél és csatlakozik a felhőhöz, de nem fog semmilyen forgalmat kezelni.


passiveMode: 'true'

4

Fejezze be a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy mester titkosítási kulcsot tartalmaz az adatbázis tartalmához. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági rendszergazdákra, akiknek konfigurációs módosításokat kell végezniük.

6

A VMware vSphere kliens bal oldali navigációs paneljén kattintson jobb gombbal a virtuális gépre, majd válassza a Beállítások szerkesztéselehetőséget.

7

Kattintson a Beállítások szerkesztése gombra >CD/DVD 1. meghajtó és válassza az Adattár ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Csatlakozás bekapcsoláskor jelölőnégyzetek be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok indítása után érvénybe léphessenek.

8

Kapcsolja be a HDS csomópontot, és győződjön meg arról, hogy legalább 15 percig nincsenek riasztások.

9

Ismételje meg a folyamatot a készenléti adatközpont minden csomópontjánál.

Ellenőrizze a rendszernaplókat, hogy a csomópontok passzív módban vannak-e. A rendszernaplókban a „KMS passzív módban konfigurálva” üzenetnek kell megjelennie.

Mi a következő teendő

Miután konfigurálta passiveMode a [] elemet az ISO fájlban és elmentette, létrehozhat egy másik másolatot az ISO fájlról a passiveMode konfiguráció nélkül, és biztonságos helyre mentheti. Az ISO fájlnak ez a passiveMode konfigurálás nélküli másolata segíthet a gyors feladatátvételi folyamatban a katasztrófa utáni helyreállítás során. A részletes feladatátvételi eljárást lásd a Katasztrófa utáni helyreállítás a Standby Data Center használatával című részben .

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy— Az alapértelmezett beállítás, ha nem használja a HDS csomópont beállítását Megbízható tároló & Proxy konfiguráció proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára, és nem igényelnek semmilyen módosítást ahhoz, hogy nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútkezelés vagy proxy vizsgálata— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy— Explicit proxy használatával megmondhatod a HDS csomópontoknak, hogy melyik proxy szervert és hitelesítési sémát használják. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Meghatalmazott IP/FQDN—A proxy gép eléréséhez használható cím.

    2. Proxy port— Egy portszám, amelyet a proxy a proxy forgalom figyelésére használ.

    3. Proxy protokoll— Attól függően, hogy mit támogat a proxy szerver, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus— Válasszon az alábbi hitelesítési típusok közül:

      • Nincs— Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Basic— HTTP felhasználói ügynökök számára használatos felhasználónév és jelszó megadására kérések kezdeményezésekor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonat— A fiók megerősítésére szolgál a bizalmas információk küldése előtt. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse fel környezetét

A hibrid adatbiztonság követelményei

Cisco Webex licenckövetelmények

Hibrid adatbiztonság telepítése:

Docker asztali számítógépre vonatkozó követelmények

A HDS csomópontok telepítése előtt a Docker Desktopban kell futtatni egy telepítőprogramot. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

A Docker Desktop licenccel nem rendelkező ügyfelek nyílt forráskódú konténerkezelő eszközt, például a Podman Desktopot használhatnak konténerek futtatásához, kezeléséhez és létrehozásához. A részletekért lásd: Futtassa a HDS Setup eszközt a Podman Desktop használatával.

X.509 tanúsítványkövetelmények

A tanúsítványláncnak a következő követelményeknek kell megfelelnie:

1. táblázat. X.509 tanúsítványkövetelmények hibrid adatbiztonsági telepítéshez

Követelmény

részletei

  • Megbízható hitelesítésszolgáltató (CA) által aláírva

Alapértelmezés szerint a Mozilla listájában szereplő hitelesítésszolgáltatókat bízzuk meg (a WoSign és a StartCom kivételével) https://wiki.mozilla.org/CA:IncludedCAsa címen.

  • Egy Common Name (CN) domain nevet visel, amely azonosítja a hibrid adatbiztonsági telepítését

  • Nem helyettesítő tanúsítvány

A CN-nek nem kell elérhetőnek vagy élő gazdagépnek lennie. Azt javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: hds.company.com.

A CN nem tartalmazhat * (helyettesítő karakter).

A CN a hibrid adatbiztonsági csomópontok Webex alkalmazáskliensek felé történő ellenőrzésére szolgál. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN-tartomány használatával azonosítja magát, nem pedig az x.509v3 SAN-mezőkben definiált tartományok valamelyikével.

Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, a CN domainnév módosítását nem támogatjuk. Válasszon olyan domaint, amely mind a próba-, mind az éles telepítésekre vonatkozik.

  • Nem SHA1 aláírás

A KMS szoftver nem támogatja az SHA1 aláírásokat más szervezetek KMS rendszereihez való kapcsolatok érvényesítéséhez.

  • Jelszóval védett PKCS-ként formázva #12 fájl

  • A tanúsítvány, a privát kulcs és a feltöltendő köztes tanúsítványok címkézéséhez használja a kms-private-key felhasználóbarát nevet.

A tanúsítvány formátumának módosításához használhatsz egy konvertert, például az OpenSSL-t.

A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Néhány hitelesítésszolgáltató megköveteli, hogy minden tanúsítványra kiterjesztett kulcshasználati korlátozásokat alkalmazzanak, például szerverhitelesítést. Rendben van a szerverhitelesítés vagy más beállítások használata.

Virtuális gazdagép követelményei

A fürtben hibrid adatbiztonsági csomópontként beállítandó virtuális hosztokra a következő követelmények vonatkoznak:

  • Legalább két különálló host (3 ajánlott) ugyanabban a biztonságos adatközpontban

  • VMware ESXi 7.0 vagy 8.0 telepítve és fut.

    Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.

  • Minimum 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület szerverenként

Adatbázis-kiszolgáló követelményei

Hozz létre egy új adatbázist a kulcsok tárolására. Ne használd az alapértelmezett adatbázist. A HDS alkalmazások telepítéskor létrehozzák az adatbázis sémáját.

Az adatbázis-kiszolgáló esetében két lehetőség van. Az egyes követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelményei adatbázis típusa szerint

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 vagy 16 telepítve és fut.

  • Telepített SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) verzió.

    Az SQL Server 2016-hoz a 2. szervizcsomag és a 2. vagy újabb kumulatív frissítés szükséges.

Minimum 8 vCPU, 16 GB fő memória, elegendő merevlemez-terület és monitorozás annak biztosítására, hogy ezt ne lépjék túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

Minimum 8 vCPU, 16 GB fő memória, elegendő merevlemez-terület és monitorozás annak biztosítására, hogy ezt ne lépjék túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On feladatátvevő fürt példányok és Always On rendelkezésre állási csoportok) szolgáltatást.

További követelmények a Microsoft SQL Server Windows-hitelesítéséhez

Ha azt szeretné, hogy a HDS csomópontok Windows-hitelesítést használjanak a Microsoft SQL Serveren található kulcstároló adatbázis eléréséhez, akkor a következő konfigurációra van szükség a környezetben:

  • A HDS csomópontoknak, az Active Directory infrastruktúrának és az MS SQL Servernek mind szinkronizálva kell lenniük NTP-vel.

  • A HDS csomópontoknak megadott Windows-fióknak rendelkeznie kell read/write hozzáférés az adatbázishoz.

  • A HDS csomópontoknak biztosított DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.

  • Regisztrálhatja a HDS adatbázispéldányt a Microsoft SQL Serveren szolgáltatásnévként (SPN) az Active Directoryban. Lásd: Szolgáltatásnév regisztrálása Kerberos-kapcsolatokhoz.

    A HDS beállítóeszköznek, a HDS indítónak és a helyi KMS-nek is Windows-hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az ISO-konfiguráció adatait használják az SPN létrehozásához, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Konfigurálja a tűzfalat úgy, hogy a következő kapcsolatokat engedélyezze a HDS alkalmazások számára:

Alkalmazás

Protokoll

Port

Útvonaltervezés az alkalmazásból

Cél

Hibrid adatbiztonsági csomópontok

TCP

443

Kimenő HTTPS és WSS

  • Webex szerverek:

    • *.wbx2.com

    • *.ciscospark.com

  • Minden Common Identity gazdagép

  • További URL-címek, amelyek a Webex hibrid szolgáltatások további URL-címei táblázatban szerepelnek a Webex szolgáltatások hálózati követelményeirészben.

HDS beállító eszköz

TCP

443

Kimenő HTTPS

  • *.wbx2.com

  • Minden Common Identity gazdagép

  • hub.docker.com

A hibrid adatbiztonsági csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, feltéve, hogy a NAT vagy a tűzfal engedélyezi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartományi célhelyekhez. A hibrid adatbiztonsági csomópontokra bejövő kapcsolatok esetében az internetről nem lehetnek látható portok. Az adatközponton belül az ügyfeleknek adminisztratív célokra hozzáférésre van szükségük a Hybrid Data Security csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-gazdagépek:

Régió

Közös identitásgazda URL-címek

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Európai Unió

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Szingapúr

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Egyesült Arab Emírségek

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS forgalmat vizsgáló Squid proxyk zavarhatják a websocket létrehozását. (wss:) kapcsolatok. A probléma kerülő megoldásához lásd: Squid proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma előfordul, wbx2.com a és ciscospark.com felé irányuló forgalom megkerülése (nem ellenőrzése) megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződhet meg arról, hogy készen áll a hibrid adatbiztonsági fürt telepítésére és konfigurálására.
1

Győződjön meg arról, hogy Webex-szervezete engedélyezve van a Pro Pack for Cisco Webex Control Hub használatára, és szerezze be egy teljes szervezeti rendszergazdai jogosultságokkal rendelkező fiók hitelesítő adatait. További segítségért forduljon Cisco partneréhez vagy ügyfélkapcsolati menedzseréhez.

2

Válasszon egy domainnevet a HDS-telepítéshez (például hds.company.com), és szerezzen be egy tanúsítványláncot, amely tartalmaz egy X.509 tanúsítványt, egy privát kulcsot és az esetleges köztes tanúsítványokat. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelményekdokumentumban foglalt követelményeknek.

3

Készítsen elő azonos virtuális hosztokat, amelyeket hibrid adatbiztonsági csomópontokként fog beállítani a fürtben. Legalább két különálló hosztra van szükség (3 ajánlott), amelyek ugyanabban a biztonságos adatközpontban helyezkednek el, és megfelelnek a Virtuális hosztokra vonatkozó követelményekrészben foglalt követelményeknek.

4

Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattárolójaként fog működni, az Adatbázis-kiszolgáló követelményeiszerint. Az adatbázis-kiszolgálót a virtuális hosztokkal együtt, biztonságos adatközpontban kell elhelyezni.

  1. Hozz létre egy adatbázist a kulcsok tárolására. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítéskor létrehozzák az adatbázis sémáját.)

  2. Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz fognak használni:

    • a gazdagép neve vagy IP-címe (gazdagép) és portja

    • a kulcstároláshoz használt adatbázis neve (dbname)

    • egy olyan felhasználó felhasználóneve és jelszava, aki minden jogosultsággal rendelkezik a kulcstároló adatbázishoz

5

A gyors katasztrófa utáni helyreállítás érdekében hozzon létre egy biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet tükrözi a virtuális gépek és egy biztonsági mentési adatbázis-kiszolgáló éles környezetét. Például, ha az éles környezetben 3 virtuális gépen fut HDS-csomópontok, akkor a biztonsági mentési környezetben is 3 virtuális gépnek kell lennie.

6

Állítson be egy syslog-hosztot a fürt csomópontjairól származó naplók gyűjtéséhez. Gyűjtse össze a hálózati címét és a syslog portját (alapértelmezett az UDP 514).

7

Hozzon létre egy biztonságos biztonsági mentési szabályzatot a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO-fájlról.

Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a tartalom HELYREÁLLÍTHATATLAN ELVESZTÉSÉT eredményezi.

A Webex alkalmazás kliensei gyorsítótárazzák a kulcsaikat, így a kiesés nem feltétlenül észrevehető azonnal, de idővel nyilvánvalóvá válik. Bár az átmeneti leállások megakadályozása lehetetlen, azok helyrehozhatók. Azonban az adatbázis vagy a konfigurációs ISO-fájl teljes elvesztése (ha nincsenek elérhető biztonsági mentések) helyreállíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági csomópontok üzemeltetőinek gyakori biztonsági mentéseket kell készíteniük az adatbázisról és a konfigurációs ISO-fájlról, és fel kell készülniük a hibrid adatbiztonsági adatközpont újjáépítésére katasztrofális hiba esetén.

8

Győződjön meg arról, hogy a tűzfal konfigurációja lehetővé teszi a hibrid adatbiztonsági csomópontok csatlakozását a Külső csatlakozási követelményekrészben leírtak szerint.

9

Telepítse a Dockert ( https://www.docker.com) bármely helyi gépre, amely támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtat, egy olyan webböngészővel, amely el tudja érni http://127.0.0.1:8080.a címen.

A Docker-példány segítségével letöltheti és futtathatja a HDS Setup Tool eszközt, amely létrehozza a helyi konfigurációs információkat az összes Hybrid Data Security csomóponthoz. Lehetséges, hogy szervezetének Docker Desktop licencre van szüksége. További információkért lásd a Docker asztali számítógép követelményeit című részt.

A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a Külső csatlakozási követelményekrészben leírt kapcsolattal.

10

Ha proxyt integrál a Hybrid Data Security szolgáltatással, győződjön meg arról, hogy az megfelel a Proxy Server Requirementskövetelményeinek.

11

Ha szervezete címtár-szinkronizálást használ, hozzon létre egy HdsTrialGroupnevű csoportot az Active Directoryban, és vegyen fel pilot felhasználókat. A próbacsoport legfeljebb 250 felhasználóból állhat. A HdsTrialGroup objektumot szinkronizálni kell a felhővel, mielőtt elkezdhetné a próbaverziót a szervezete számára. Csoportobjektum szinkronizálásához jelölje ki azt a Címtár-összekötő konfigurációjában > Objektumkijelölés menü. (Részletes utasításokért lásd a Cisco Directory Connector telepítési útmutatóját.)

Egy adott tér kulcsait a tér létrehozója állítja be. A kísérleti felhasználók kiválasztásakor ne feledje, hogy ha úgy dönt, hogy véglegesen inaktiválja a hibrid adatbiztonsági telepítést, akkor minden felhasználó elveszíti a hozzáférést a kísérleti felhasználók által létrehozott terekben található tartalmakhoz. A veszteség azonnal nyilvánvalóvá válik, amint a felhasználók alkalmazásai frissítik a tartalom gyorsítótárazott másolatait.

Hibrid adatbiztonsági klaszter beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

1

Telepítőfájlok letöltése

Töltse le az OVA fájlt a helyi gépére későbbi használatra.

2

Konfigurációs ISO létrehozása a HDS-gazdagépekhez

A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájlt a Hybrid Data Security csomópontokhoz.

3

Telepítse a HDS Host OVA-t

Hozz létre egy virtuális gépet az OVA fájlból, és végezd el a kezdeti konfigurációt, például a hálózati beállításokat.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét az ESXi 7.0 és 8.0 verziókkal tesztelték. Előfordulhat, hogy a lehetőség a korábbi verziókban nem érhető el.

4

A hibrid adatbiztonsági virtuális gép beállítása

Jelentkezzen be a virtuálisgép-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha nem konfigurálta azokat az OVA telepítésekor.

5

HDS konfigurációs ISO feltöltése és csatolása

Konfigurálja a virtuális gépet a HDS Setup Tool segítségével létrehozott ISO konfigurációs fájlból.

6

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxy konfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxy tanúsítványt a megbízható tárolóhoz.

7

Az első csomópont regisztrálása a fürtben

Regisztrálja a virtuális gépet a Cisco Webex felhőben hibrid adatbiztonsági csomópontként.

8

További csomópontok létrehozása és regisztrálása

Fejezze be a fürt beállítását.

9

Amíg nem indítasz el egy próbaverziót, a csomópontok riasztást generálnak, amely jelzi, hogy a szolgáltatásod még nincs aktiválva.

Telepítőfájlok letöltése

Ebben a feladatban egy OVA fájlt töltesz le a gépedre (nem a hibrid adatbiztonsági csomópontként beállított szerverekre). Ezt a fájlt később a telepítési folyamat során fogja használni.
1

Jelentkezzen be a( https://admin.webex.comz) szolgáltatásba, majd kattintson a Szolgáltatásoklehetőségre.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság kártyát, majd kattintson a Beállításgombra.

Ha a kártya le van tiltva, vagy nem látja, vegye fel a kapcsolatot a fiókkezelő csapatával vagy a partnerszervezetével. Add meg nekik a fiókszámodat, és kérd meg, hogy engedélyezzék a szervezetednek a hibrid adatbiztonságot. A számlaszám megkereséséhez kattintson a szervezet neve melletti jobb felső sarokban található fogaskerékre.

Az OVA-t bármikor letöltheted a Beállítások [ oldal Súgó részéből is. A Hibrid adatbiztonság kártyán kattintson a Beállítások szerkesztése gombra az oldal megnyitásához. Ezután kattintson a Hibrid adatbiztonsági szoftver letöltése lehetőségre a Súgó részben.

A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg róla, hogy letöltötte az OVA fájl legújabb verzióját.

3

Válassza a Nem lehetőséget, ha még nem állította be a csomópontot, majd kattintson a Továbbgombra.

Az OVA fájl letöltése automatikusan megkezdődik. Mentsd el a fájlt egy helyre a gépeden.
4

Opcionálisan kattintson a Telepítési útmutató megnyitása gombra annak ellenőrzéséhez, hogy elérhető-e az útmutató újabb verziója.

Konfigurációs ISO létrehozása a HDS-gazdagépekhez

A Hybrid Data Security telepítési folyamata létrehoz egy ISO-fájlt. Ezután az ISO segítségével konfigurálhatja a hibrid adatbiztonsági gazdagépet.

Mielőtt elkezdené
1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

docker login -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál HTTPS proxy környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A telepítőeszköz nem támogatja a localhosthoz való csatlakozást a következőn keresztül: http://localhost:8080. http://127.0.0.1:8080 A paranccsal csatlakozhatsz a localhosthoz.

Egy webböngészővel lépjen a localhostra ( http://127.0.0.1:8080) , és a parancssorba írja be a Control Hub ügyfél-adminisztrátori felhasználónevét.

Az eszköz a felhasználónév első bejegyzését használja a fiók megfelelő környezetének beállításához. Az eszköz ezután megjeleníti a szokásos bejelentkezési ablakot.

7

Amikor a rendszer kéri, adja meg a Control Hub ügyfél-adminisztrátori bejelentkezési adatait, majd kattintson a Bejelentkezés gombra a Hybrid Data Security szükséges szolgáltatásainak eléréséhez.

8

A Beállítóeszköz áttekintése oldalon kattintson a Első lépésekgombra.

9

Az ISO importálás oldalon a következő lehetőségek közül választhat:

  • Nem—Ha az első HDS csomópontodat hozod létre, nincs feltöltendő ISO fájlod.
  • Igen—Ha már létrehozott HDS csomópontokat, akkor a tallózás során válassza ki az ISO fájlt, és töltse fel.
10

Ellenőrizd, hogy az X.509 tanúsítványod megfelel-e az X.509 tanúsítványkövetelményekcímű dokumentumban található követelményeknek.

  • Ha korábban még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatásgombra.
  • Ha a tanúsítványa rendben van, kattintson a Folytatásgombra.
  • Ha a tanúsítványa lejárt, vagy le szeretné cserélni, válassza a Nem lehetőséget a Folytatja a HDS tanúsítványlánc és az előző ISO-ból származó privát kulcs használatát?lehetőségnél. Töltsön fel egy új X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatásgombra.
11

Adja meg az adatbázis címét és fiókját, hogy a HDS hozzáférhessen a kulcsadattárához:

  1. Válassza ki az adatbázistípust (PostgreSQL vagy Microsoft SQL Server).

    Ha a Microsoft SQL Serverlehetőséget választja, akkor egy Hitelesítési típus mező jelenik meg.

  2. (csak Microsoft SQL Server esetén ) Válassza ki a hitelesítési típust:

    • Alapvető hitelesítés: A Felhasználónév mezőben meg kell adnia a helyi SQL Server fiók nevét.

    • Windows hitelesítés: Szükséged lesz egy Windows fiókra a következő formátumban: username@DOMAIN a Felhasználónév mezőben.

  3. Adja meg az adatbázis-kiszolgáló címét : vagy :formában.

    Példa:
    dbhost.example.org:1433 vagy 198.51.100.17:1433

    Használhat IP-címet az alapvető hitelesítéshez, ha a csomópontok nem tudják DNS-en keresztül feloldani a gazdagépnevet.

    Ha Windows hitelesítést használ, akkor teljesen minősített domainnevet kell megadnia a következő formátumban: dbhost.example.org:1433

  4. Adja meg az Adatbázis nevét.

  5. Adja meg egy olyan felhasználó Felhasználónév és Jelszó értékét, aki minden jogosultsággal rendelkezik a kulcstároló adatbázishoz.

12

Válasszon egy TLS adatbázis-kapcsolati módot:

Mód

Leírás

TLS előnyben részesítése (alapértelmezett beállítás)

A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis-kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak létrehozni.

Kötelező TLS

A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

TLS igénylése és a tanúsítvány aláírójának ellenőrzése

Ez a mód nem alkalmazható SQL Server adatbázisokra.

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a Adatbázis gyökértanúsítványábantalálható tanúsító hatósággal. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése

  • A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.

  • A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a Adatbázis gyökértanúsítványábantalálható tanúsító hatósággal. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot.

  • A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő állomásnév megegyezik-e az Adatbázis állomás és port mezőben található állomásnévvel. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot.

A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a főtanúsítványt (ha szükséges), és a Folytatásgombra kattint, a HDS Setup Tool teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A csatlakozási különbségek miatt a HDS csomópontok akkor is képesek lehetnek TLS-kapcsolatot létrehozni, ha a HDS Setup Tool gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd szervert:

  1. Adja meg a syslog-kiszolgáló URL-címét.

    Ha a szerver nem feloldható DNS-sel a HDS-fürt csomópontjaiból, használjon IP-címet az URL-címben.

    Példa:
    udp://10.92.43.23:514 a Syslogd 10.92.43.23-as hosztjára történő naplózást jelzi az 514-es UDP porton.

  2. Ha a szerver TLS titkosítás használatára van beállítva, ellenőrizze a lehetőséget. Konfigurálva van a syslog-szerver SSL titkosításra?.

    Ha bejelöli ezt a jelölőnégyzetet, ügyeljen arra, hogy TCP URL-címet adjon meg, például: tcp://10.92.43.23:514.

  3. A Rendszernapló-rekord megszakításának kiválasztása legördülő menüből válassza ki az ISO-fájl megfelelő beállítását: A Choose vagy az Newline karaktereket Graylog és Rsyslog TCP esetén használják.

    • Null bájt -- \x00

    • Új sor -- \n—Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetében.

  4. Kattintson a Folytatás gombra.

14

(Választható) Egyes adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállításokmenüpontban módosíthatja. Általában ez a paraméter az egyetlen, amelyet érdemes lehet módosítani:

app_datasource_connection_pool_maxSize: 10
15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiókok jelszavai kilenc hónapig érvényesek. Használja ezt a képernyőt, ha jelszavai lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO-fájlok érvénytelenítéséhez.

16

Kattintson az ISO fájl letöltésegombra. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy mester titkosítási kulcsot tartalmaz az adatbázis tartalmához. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági rendszergazdákra, akiknek konfigurációs módosításokat kell végezniük.

18

A telepítőeszköz leállításához írja be CTRL+Ca karaktereket.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz, vagy konfigurációs módosítások elvégzéséhez. Ha elveszíted az ISO fájl összes példányát, akkor a mesterkulcsot is elveszíted. A kulcsok helyreállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.

Soha nincs másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíted.

Telepítse a HDS Host OVA-t

Ezzel az eljárással hozhat létre virtuális gépet az OVA fájlból.
1

Használja a számítógépén található VMware vSphere klienst az ESXi virtuális gazdagépre való bejelentkezéshez.

2

Válassza a Fájl lehetőséget > OVF sablon telepítése.

3

A varázslóban adja meg a korábban letöltött OVA fájl helyét, majd kattintson a Továbbgombra.

4

A Név és mappa kiválasztása oldalon adja meg a csomópont virtuális gépnevét (például "HDS_Node_1"), válasszon ki egy helyet, ahol a virtuális gép csomópont telepítése történhet, majd kattintson a Továbbgombra.

5

A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Továbbgombra.

Lefut egy érvényesítési ellenőrzés. A befejezés után megjelennek a sablon részletei.

6

Ellenőrizze a sablon részleteit, majd kattintson a Továbbgombra.

7

Ha a Konfiguráció oldalon a rendszer kéri az erőforrás-konfiguráció kiválasztását, kattintson a 4 CPU lehetőségre, majd a Továbbgombra.

8

A Tároló kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a virtuális gép tárolási házirendjének elfogadásához.

9

A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a listából a virtuális géphez való kívánt kapcsolat biztosításához.

10

A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat:

  • Gazdagépnév— Adja meg a csomópont teljes tartománynevét (gazdagépnév és tartomány) vagy egyetlen szavas gazdagépnevét.

    • Nem kell úgy beállítani a domaint, hogy az megegyezzen az X.509 tanúsítvány beszerzéséhez használt domainnel.

    • A felhőbe való sikeres regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott.

    • Az FQDN teljes hossza nem haladhatja meg a 64 karaktert.

  • IP-cím— Adja meg a csomópont belső interfészének IP-címét.

    A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

  • Maszk— Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például, 255.255.255.0.
  • Átjáró— Adja meg az átjáró IP-címét. Az átjáró egy hálózati csomópont, amely hozzáférési pontként szolgál egy másik hálózathoz.
  • DNS-kiszolgálók— Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amelyek a domainnevek numerikus IP-címekké fordítását végzik. (Legfeljebb 4 DNS-bejegyzés engedélyezett.)
  • NTP-kiszolgálók— Adja meg szervezete NTP-kiszolgálóját vagy más, a szervezetében használható külső NTP-kiszolgálót. Az alapértelmezett NTP-kiszolgálók nem minden vállalatnál működnek. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat.

  • Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózatában lévő ügyfelekről adminisztrációs célokra.

Ha szükséges, kihagyhatja a hálózati beállítások konfigurálását, és követheti a A hibrid adatbiztonsági virtuális gép beállítása című részben leírt lépéseket a beállítások csomópont-konzolról történő konfigurálásához.

Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét az ESXi 7.0 és 8.0 verziókkal tesztelték. Előfordulhat, hogy a lehetőség a korábbi verziókban nem érhető el.

11

Kattintson a jobb gombbal a virtuális gép csomópontjára, majd válassza a Energiaellátás lehetőséget. > Bekapcsolás.

A Hybrid Data Security szoftver vendégként települ a virtuális gép gazdagépére. Most már bejelentkezhet a konzolba és konfigurálhatja a csomópontot.

Hibaelhárítási tippek

Előfordulhat, hogy néhány perces késés tapasztalható a csomópont-tárolók megjelenése előtt. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely során nem lehet bejelentkezni.

A hibrid adatbiztonsági virtuális gép beállítása

Ezzel az eljárással jelentkezhet be első alkalommal a Hybrid Data Security csomópont virtuálisgép-konzoljára, és állíthatja be a bejelentkezési hitelesítő adatokat. A konzolon keresztül is konfigurálhatja a csomópont hálózati beállításait, ha azokat az OVA telepítése során nem konfigurálta.

1

A VMware vSphere kliensben válassza ki a Hybrid Data Security csomópontú virtuális gépet, és válassza a Konzol fület.

A virtuális gép elindul, és megjelenik egy bejelentkezési ablak. Ha a bejelentkezési ablak nem jelenik meg, nyomja meg a Enterbillentyűt.
2

A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezési nevet és jelszót:

  1. Bejelentkezés: admin

  2. Jelszó: cisco

Mivel először jelentkezik be a virtuális gépére, meg kell változtatnia a rendszergazdai jelszót.

3

Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítéserészben, akkor ugorja át az eljárás további részét. Egyéb esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.

4

Állítson be egy statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-információkkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.

5

(Választható) Szükség esetén módosítsa a gazdagépnevet, a domaint vagy az NTP-kiszolgáló(ka)t a hálózati szabályzatnak megfelelően.

Nem kell úgy beállítani a domaint, hogy az megegyezzen az X.509 tanúsítvány beszerzéséhez használt domainnel.

6

Mentse el a hálózati konfigurációt, és indítsa újra a virtuális gépet, hogy a módosítások érvénybe lépjenek.

HDS konfigurációs ISO feltöltése és csatolása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS Setup Tool segítségével létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a főkulcsot, azt csak „szükséges ismeret” alapon szabad közzétenni, hogy a hibrid adatbiztonsági virtuális gépek és a módosításokat végző rendszergazdák hozzáférhessenek. Győződjön meg arról, hogy csak az adott rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltsd fel az ISO fájlt a számítógépedről:

  1. A VMware vSphere kliens bal oldali navigációs paneljén kattintson az ESXi-kiszolgálóra.

  2. A Konfiguráció lap Hardver listájában kattintson a Tárolóelemre.

  3. Az Adattárak listában kattintson jobb gombbal a virtuális gépek adattárára, majd válassza az Adattár böngészéselehetőséget.

  4. Kattintson a Fájl feltöltése ikonra, majd a Fájl feltöltésegombra.

  5. Keresse meg a számítógépén az ISO fájl letöltött helyét, és kattintson a Megnyitásgombra.

  6. Az Igen gombra kattintva elfogadhatja a upload/download műveleti figyelmeztetés, és zárja be az adattár párbeszédpanelt.

2

Csatold fel az ISO fájlt:

  1. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  2. Kattintson az OK gombra a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetés elfogadásához.

  3. Kattintson CD/DVD Drive 1a gombra, válassza az adattár ISO-fájljából történő csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahová feltöltötte a konfigurációs ISO-fájlt.

  4. Jelölje be a Csatlakoztatva és a Csatlakozás bekapcsoláskorlehetőséget.

  5. Mentse el a módosításokat, és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az informatikai szabályzat megköveteli, opcionálisan leválaszthatja az ISO-fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. A részletekért lásd a (Opcionális) ISO leválasztása HDS konfiguráció után című részt.

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Írja be a HDS csomópont beállítási URL-címét https://[HDS Node IP or FQDN]/setup egy webböngészőbe, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy— Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó, nem ellenőrző proxy— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára, és nem igényelnek semmilyen módosítást ahhoz, hogy nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy— Explicit proxy használatával megmondhatod a kliensnek (HDS csomópontoknak), hogy melyik proxy szervert használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Meghatalmazott IP/FQDN—A proxy gép eléréséhez használható cím.

    2. Proxy port— Egy portszám, amelyet a proxy a proxy forgalom figyelésére használ.

    3. Proxy Protocol— Válassza a http (megtekinti és vezérli az ügyféltől fogadott összes kérést) vagy a https (csatornát biztosít a szervernek, és az ügyfél fogadja és érvényesíti a szerver tanúsítványát) lehetőséget. Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus— Válasszon az alábbi hitelesítési típusok közül:

      • Nincs— Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Basic— HTTP felhasználói ügynökök számára használatos felhasználónév és jelszó megadására kérések kezdeményezésekor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonat— A fiók megerősítésére szolgál a bizalmas információk küldése előtt. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont Blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez egy hiba, kövesse az alábbi lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolásacímű részt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

Az első csomópont regisztrálása a fürtben

Ez a feladat a A hibrid adatbiztonsági virtuális gép beállításarészben létrehozott általános csomópontot veszi alapul, regisztrálja a csomópontot a Webex felhőben, és hibrid adatbiztonsági csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá lesz rendelve. Egy klaszter egy vagy több csomópontot tartalmaz, amelyek a redundancia biztosítása érdekében vannak telepítve.

Mielőtt elkezdené

  • Miután elkezdte egy csomópont regisztrációját, 60 percen belül be kell fejeznie, különben újra kell kezdenie.

  • Győződjön meg arról, hogy a böngészőjében le van tiltva az összes felugró ablak blokkoló, vagy hogy engedélyezett egy kivétel az admin.webex.com számára.

1

Jelentkezzen be ide: https://admin.webex.com.

2

A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.

3

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson a Beállításlehetőségre.

Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
4

Válassza az Igen lehetőséget annak jelzésére, hogy beállította a csomópontot és készen áll a regisztrálására, majd kattintson a Továbbgombra.

5

Az első mezőben adja meg annak a fürtnek a nevét, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontot.

Azt javasoljuk, hogy a fürtöt a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezze el. Példák: „San Francisco”, „New York” vagy „Dallas”

6

A második mezőbe írja be a csomópont belső IP-címét vagy teljes tartománynevét (FQDN), majd kattintson a Továbbgombra.

Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománnyal, amelyet a Hibrid adatbiztonsági virtuális gép beállításarészben használt.

Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontját a Webex-en.
7

Kattintson a Ugrás a csomópontralehetőségre.

8

Kattintson a figyelmeztető üzenetben a Folytatás gombra.

Néhány pillanat múlva a rendszer átirányítja a Webex-szolgáltatások csomópont-kapcsolati tesztjeihez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Ott megerősítheti, hogy engedélyeket szeretne adni Webex-szervezetének a csomópont eléréséhez.
9

Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson a Folytatásgombra.

Fiókját ellenőriztük, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva lett a Webex felhőben.
10

Kattintson a hivatkozásra vagy zárja be a fület a Control Hub hibrid adatbiztonsági oldalára való visszatéréshez.

A Hibrid adatbiztonság oldalon megjelenik az új fürt, amely a regisztrált csomópontot tartalmazza. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

További csomópontok fürthöz való hozzáadásához egyszerűen hozzon létre további virtuális gépeket, csatlakoztassa ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Azt javasoljuk, hogy legalább 3 csomóponttal rendelkezzen.

Jelenleg a A hibrid adatbiztonság előfeltételeinek kitöltése részben létrehozott tartalék virtuális gépek készenléti gazdagépek, amelyeket csak katasztrófa utáni helyreállítás esetén használnak; addig nincsenek regisztrálva a rendszerben. Részletekért lásd: Katasztrófa utáni helyreállítás a Standby Data Center használatával.

Mielőtt elkezdené

  • Miután elkezdte egy csomópont regisztrációját, 60 percen belül be kell fejeznie, különben újra kell kezdenie.

  • Győződjön meg arról, hogy a böngészőjében le van tiltva az összes felugró ablak blokkoló, vagy hogy engedélyezett egy kivétel az admin.webex.com számára.

1

Hozz létre egy új virtuális gépet az OVA-ból, ismételve a A HDS Host OVA telepítésecímű részben leírt lépéseket.

2

Állítsa be a kezdeti konfigurációt az új virtuális gépen a A hibrid adatbiztonsági virtuális gép beállításacímű részben leírt lépések megismétlésével.

3

Az új virtuális gépen ismételje meg a HDS konfigurációs ISO feltöltése és csatlakoztatásarészben leírt lépéseket.

4

Ha proxyt állít be a telepítéshez, ismételje meg a A HDS csomópont konfigurálása proxyintegrációhoz című részben leírt lépéseket az új csomóponthoz szükséges módon.

5

Regisztrálja a csomópontot.

  1. https://admin.webex.comA részben válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.

  2. A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság kártyát, és kattintson az Erőforrásoklehetőségre.

    Megjelenik a Hibrid adatbiztonsági erőforrások oldal.

  3. Kattintson az Erőforrás hozzáadásagombra .

  4. Az első mezőben válassza ki a meglévő fürt nevét.

  5. A második mezőbe írja be a csomópont belső IP-címét vagy teljes tartománynevét (FQDN), majd kattintson a Továbbgombra.

    Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontját a Webex felhőbe.

  6. Kattintson a Ugrás a csomópontralehetőségre.

    Néhány pillanat múlva a rendszer átirányítja a Webex-szolgáltatások csomópont-kapcsolati tesztjeihez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Ott megerősítheti, hogy engedélyeket szeretne adni a szervezetének a csomópont eléréséhez.

  7. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson a Folytatásgombra.

    Fiókját ellenőriztük, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva lett a Webex felhőben.

  8. Kattintson a hivatkozásra vagy zárja be a fület a Control Hub hibrid adatbiztonsági oldalára való visszatéréshez.

A csomópont regisztrálva van. Vegye figyelembe, hogy amíg nem indít el egy próbaverziót, a csomópontok riasztást generálnak, amely jelzi, hogy a szolgáltatás még nincs aktiválva.

Mi a következő teendő

Próba futtatása és átállás éles üzembe (következő fejezet)

Próbaverzió futtatása és átállás éles üzembe

Próbaüzemből éles üzembe helyezés feladatfolyama

Miután beállított egy hibrid adatbiztonsági fürtöt, elindíthat egy kísérleti programot, felhasználókat adhat hozzá, és elkezdheti használni a telepítés tesztelésére és ellenőrzésére az éles környezetbe való áttérés előkészítéseként.

Mielőtt elkezdené

Hibrid adatbiztonsági klaszter beállítása
1

Ha alkalmazható, szinkronizálja a HdsTrialGroup csoportobjektumot.

Ha a szervezet címtár-szinkronizálást használ a felhasználókhoz, akkor a próbaverzió megkezdése előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz. Útmutatásért lásd a Cisco Directory Connector telepítési útmutatóját.

2

Próbaverzió aktiválása

Indítson el egy próbaverziót. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, amely jelzi, hogy a szolgáltatás még nincs aktiválva.

3

Hibrid adatbiztonsági telepítés tesztelése

Ellenőrizze, hogy a kulcsfontosságú kérések átkerülnek-e a hibrid adatbiztonsági környezetbe.

4

Hibrid adatbiztonsági állapot figyelése

Ellenőrizd az állapotot, és állíts be e-mail értesítéseket a riasztásokról.

5

Felhasználók hozzáadása vagy eltávolítása a próbaverzióból

6

Fejezd be a próbaidőszakot az alábbi műveletek egyikével:

Próbaverzió aktiválása

Mielőtt elkezdené

Ha a szervezet címtár-szinkronizálást használ a felhasználókhoz, akkor a próbaverzió elindítása előtt ki kell választania a HdsTrialGroup csoportobjektumot a felhővel való szinkronizáláshoz. Útmutatásért lásd a Cisco Directory Connector telepítési útmutatóját.

1

Jelentkezzen be a( https://admin.webex.comz) szolgáltatásba, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság alatt kattintson a Beállításoklehetőségre.

3

A Szolgáltatás állapota részben kattintson a Próbaverzió indításagombra.

A szolgáltatás állapota próba üzemmódra vált.
4

Kattintson a Felhasználók hozzáadása gombra, és adja meg egy vagy több felhasználó e-mail címét, akiket a hibrid adatbiztonsági csomópontok titkosítási és indexelési szolgáltatásainak használatához tesztelni szeretne.

(Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelheti a próbacsoportot, HdsTrialGroup.)

Hibrid adatbiztonsági telepítés tesztelése

Ezzel az eljárással tesztelheti a hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

  • Állítsa be a hibrid adatbiztonsági telepítését.

  • Aktiválja a próbaverziót, és adjon hozzá több próbafelhasználót.

  • Győződjön meg arról, hogy hozzáfér a rendszernaplóhoz, és ellenőrizheti, hogy a kulcsfontosságú kérések átkerülnek-e a hibrid adatbiztonsági környezetbe.

1

Egy adott tér kulcsait a tér létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a pilot felhasználók egyikeként, majd hozzon létre egy teret, és hívjon meg legalább egy pilot felhasználót és egy nem pilot felhasználót.

Ha inaktiválja a hibrid adatbiztonsági telepítést, a pilótafelhasználók által létrehozott terekben lévő tartalom a titkosítási kulcsok ügyfél által gyorsítótárazott másolatainak lecserélése után már nem lesz elérhető.

2

Üzeneteket küldhetsz az új helyre.

3

A syslog kimenetének ellenőrzésével győződjön meg arról, hogy a kulcskérések átkerülnek a hibrid adatbiztonsági telepítéshez.

  1. Annak ellenőrzéséhez, hogy egy felhasználó először biztonságos csatornát létesít-e a KMS-hez, szűrjön a kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTIONparaméterekre. :

    Egy ehhez hasonló bejegyzést kell találnia (az azonosítók az olvashatóság kedvéért rövidítve):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Ha egy felhasználó meglévő kulcsot kér a KMS-től, szűrjön kms.data.method=retrieve a és kms.data.type=KEYparaméterekre. :

    Olyan bejegyzést kell találnod, mint:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Új KMS-kulcs létrehozását kérő felhasználó kereséséhez szűrjön kms.data.method=create a és kms.data.type=KEY_COLLECTIONkarakterekre. :

    Olyan bejegyzést kell találnod, mint:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Ha egy felhasználó új KMS-erőforrás-objektum (KRO) létrehozását kéri, amikor egy területet vagy más védett erőforrást hoznak létre, szűrjön kms.data.method=create a és kms.data.type=RESOURCE_COLLECTIONparaméterekre. :

    Olyan bejegyzést kell találnod, mint: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági állapot figyelése

A Control Hub-on belüli állapotjelző mutatja, hogy minden rendben van-e a hibrid adatbiztonsági telepítéssel. A proaktívabb értesítésekért iratkozzon fel e-mail értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések jelennek meg.
1

A Control Hubalkalmazásban válassza a Services lehetőséget a képernyő bal oldalán található menüből.

2

A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson a Beállításoklehetőségre.

Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3

Az E-mail értesítések részben írjon be egy vagy több e-mail címet vesszővel elválasztva, majd nyomja meg az Enterbillentyűt.

Felhasználók hozzáadása vagy eltávolítása a próbaverzióból

Miután aktiválta a próbaverziót és hozzáadta a próbafelhasználók kezdeti csoportját, a próbaidőszak aktív időtartama alatt bármikor hozzáadhat vagy eltávolíthat próbatagokat.

Ha eltávolít egy felhasználót a próbaverzióból, a felhasználó kliense a felhőalapú KMS-ből fogja kérni a kulcsokat és a kulcsok létrehozását a KMS helyett. Ha az ügyfélnek szüksége van egy olyan kulcsra, amely a KMS-ben van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.

Ha a szervezete címtár-szinkronizálást használ, akkor az Active Directory használatával kezelje a próbacsoportot (ezen eljárás helyett). HdsTrialGroup; A Control Hubban megtekintheti a csoport tagjait, de nem adhat hozzá vagy távolíthat el őket.

1

Jelentkezzen be a Control Hubba, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság alatt kattintson a Beállításoklehetőségre.

3

A Szolgáltatás állapota terület Próba mód szakaszában kattintson a Felhasználók hozzáadásagombra, vagy a Megtekintés és szerkesztés gombra a felhasználók próbaverzióból való eltávolításához.

4

Adja meg egy vagy több hozzáadni kívánt felhasználó e-mail címét, vagy kattintson a felhasználói azonosító melletti X gombra a felhasználó próbaverzióból való eltávolításához. Ezután kattintson aMentés gombra .

Átállás próbaverzióról éles verzióra

Amikor meggyőződött arról, hogy a telepítés jól működik a próbafelhasználók számára, áttérhet az éles környezetre. Amikor éles környezetbe vált, a szervezet összes felhasználója a helyszíni hibrid adatbiztonsági tartományt fogja használni a titkosítási kulcsokhoz és egyéb biztonsági tartományszolgáltatásokhoz. Nem térhet vissza próbaüzemmódba az éles környezetből, kivéve, ha a vész-helyreállítás részeként inaktiválja a szolgáltatást. A szolgáltatás újraaktiválásához új próbaidőszakot kell beállítani.
1

Jelentkezzen be a Control Hubba, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság alatt kattintson a Beállításoklehetőségre.

3

A Szolgáltatás állapota részben kattintson az Áthelyezés éles környezetbegombra.

4

Erősítse meg, hogy az összes felhasználóját éles környezetbe kívánja áthelyezni.

Próbaidőszak befejezése éles verzióra való áttérés nélkül

Ha a próbaidőszak alatt úgy dönt, hogy mégsem folytatja a Hybrid Data Security telepítését, inaktiválhatja a Hybrid Data Security szolgáltatást, amivel véget ér a próbaidőszak, és a próbafelhasználók visszatérnek a felhőalapú adatbiztonsági szolgáltatásokhoz. A próbaidőszakban titkosított adatokhoz való hozzáférésük megszűnik a próbaidőszakban.
1

Jelentkezzen be a Control Hubba, majd válassza a Szolgáltatásoklehetőséget.

2

A Hibrid adatbiztonság alatt kattintson a Beállításoklehetőségre.

3

A Deaktiválás részben kattintson a Deaktiválásgombra.

4

Erősítse meg, hogy deaktiválni kívánja a szolgáltatást, és befejezni a próbaidőszakot.

HDS-telepítés kezelése

HDS telepítés kezelése

Az itt leírt feladatokat használhatja a hibrid adatbiztonsági telepítés kezeléséhez.

Fürtfrissítési ütemterv beállítása

A Hybrid Data Security szoftverfrissítései automatikusan, fürtszinten történnek, ami biztosítja, hogy minden csomóponton mindig ugyanaz a szoftververzió fusson. A frissítések a fürt frissítési ütemtervének megfelelően történnek. Amikor elérhetővé válik egy szoftverfrissítés, lehetősége van manuálisan frissíteni a fürtöt a tervezett frissítési időpont előtt. Beállíthat egy adott frissítési ütemtervet, vagy használhatja az alapértelmezett ütemtervet. 3:00 AM Daily Egyesült Államok: America/Los Angeles. Szükség esetén elhalaszthatja a közelgő frissítést is.

A frissítési ütemterv beállításához:

1

Jelentkezzen be a Control Hubba.

2

Az Áttekintés oldalon, a Hibrid szolgáltatások alatt válassza a Hibrid adatbiztonságlehetőséget.

3

A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.

4

A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét.

5

A Beállítások oldalon, a Frissítés területen válassza ki a frissítési ütemterv időpontját és időzónáját.

Megjegyzés: Az időzóna alatt a következő elérhető frissítési dátum és időpont jelenik meg. Szükség esetén a frissítést a következő napra elhalaszthatja a Elhalasztásgombra kattintva.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

  • Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

    Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.

  • Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

    Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.

  • Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

  • Szoftveres újraindítás— A régi és az új jelszó egyaránt akár 10 napig is működik. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.

  • Hard reset— A régi jelszavak azonnal nem működnek.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha nem rendelkezik Docker Desktop licenccel, a Podman Desktop segítségével futtathatja a HDS Setup eszközt az alábbi eljárás 1.a–1.e lépéseihez. A részletekért lásd: Futtassa a HDS Setup eszközt a Podman Desktop használatával.

    Ha a HDS Setup eszköz proxy mögött fut a környezetedben, akkor a proxy beállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül kell megadni, amikor megnyitod a Docker konténert a 1.emappában. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1

A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.

  1. A gép parancssorában adja meg a környezetének megfelelő parancsot:

    Rendszeres környezetben:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP környezetben:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

  2. A Docker-képtárba való bejelentkezéshez írja be a következőket:

    docker login -u hdscustomersro

  3. A jelszókéréskor írja be ezt a hash-t:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Töltse le a legfrissebb stabil képet a környezetéről:

    Rendszeres környezetben:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP környezetben:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel.

  5. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

    • Rendszeres környezetben, proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Http proxyval rendelkező normál környezetben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Rendszeres környezetben, HTTPSproxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP környezetben, proxy nélkül:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Http proxyval rendelkező FedRAMP környezetben:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP környezetben https proxyval:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

  6. Használjon böngészőt a localhosthoz való http://127.0.0.1:8080csatlakozáshoz.

    A telepítőeszköz nem támogatja a localhosthoz való csatlakozást a következőn keresztül: http://localhost:8080. http://127.0.0.1:8080 A paranccsal csatlakozhatsz a localhosthoz.

  7. Amikor a rendszer kéri, adja meg a Control Hub ügyfél bejelentkezési adatait, majd kattintson az Elfogadom gombra a folytatáshoz.

  8. Importálja az aktuális konfigurációs ISO-fájlt.

  9. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez.

    A telepítőeszköz leállításához írja be CTRL+Ca karaktereket.

  10. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.

2

Ha csak egy HDS csomópont fut, hozzon létre egy új Hybrid Data Security csomópont virtuális gépet, és regisztrálja azt az új konfigurációs ISO fájl használatával. Részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása.

  1. Telepítse a HDS GAZDAPETEFÉSZKET.

  2. A HDS VM beállítása.

  3. Csatolja a frissített konfigurációs fájlt.

  4. Regisztrálja az új csomópontot a Control Hubban.

3

A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot:

  1. Kapcsolja ki a virtuális gépet.

  2. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.

  3. Kattintson CD/DVD Drive 1a gombra, válassza az ISO-fájlból történő csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahová letöltötte az új konfigurációs ISO-fájlt.

  4. Bekapcsoláskor ellenőrizze a csatlakoztatást.

  5. Mentsd el a módosításokat és az energiát a virtuális gépen.

4

Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy hibrid adatbiztonsági csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a biztonsági adatokhoz való további hozzáférést.
1

A számítógépén található VMware vSphere kliens segítségével jelentkezzen be az ESXi virtuális gépre, és kapcsolja ki a virtuális gépet.

2

Távolítsa el a csomópontot:

  1. Jelentkezzen be a Control Hubba, majd válassza a Szolgáltatásoklehetőséget.

  2. A Hibrid adatbiztonság kártyán kattintson az Összes megtekintése gombra a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.

  3. Válassza ki a klasztert az Áttekintés panel megjelenítéséhez.

  4. Kattintson a Csomópontok listájának megnyitásalehetőségre.

  5. A Csomópontok lapon jelölje ki az eltávolítani kívánt csomópontot.

  6. Kattintson a Műveletek gombra > Csomópont regisztrációjának törlése.

3

A vSphere kliensben törölje a virtuális gépet. (A bal oldali navigációs panelen kattintson jobb gombbal a virtuális gépre, majd válassza a Törléslehetőséget.)

Ha nem törli a virtuális gépet, ne felejtse el leválasztani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem használhatja a virtuális gépet a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás a Standby Data Center segítségével

A hibrid adatbiztonsági klaszter által nyújtott legfontosabb szolgáltatás a Webex felhőben tárolt üzenetek és egyéb tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belüli minden olyan felhasználó esetében, aki hozzá van rendelve a Hybrid Data Security szolgáltatáshoz, az új kulcslétrehozási kérelmek a fürthöz lesznek irányítva. A klaszter felelős azért is, hogy a létrehozott kulcsokat visszaadja minden olyan felhasználónak, aki jogosult azok lekérésére, például egy beszélgetési tér tagjainak.

Mivel a klaszter végzi ezen kulcsok biztosításának kritikus funkcióját, elengedhetetlen, hogy a klaszter folyamatosan működjön, és megfelelő biztonsági mentések legyenek karbantartva. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyfél tartalmának HELYREHOZHATATLAN VESZTÉSÉT eredményezi. Az ilyen veszteségek megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése az elsődleges adatközpontban elérhetetlenné válik, kövesse az alábbi eljárást a készenléti adatközpontba való manuális átálláshoz.

1

Indítsa el a HDS Setup eszközt, és kövesse a Konfigurációs ISO létrehozása a HDS-állomásokhozcímű részben említett lépéseket.

2

A Syslogd szerver konfigurálása után kattintson a Speciális beállításokgombra.

3

A Speciális beállítások oldalon adja hozzá az alábbi konfigurációt, vagy távolítsa el a passiveMode konfigurációt a csomópont aktívvá tételéhez. A csomópont a konfigurálás után képes kezelni a forgalmat.


passiveMode: 'false'

4

Fejezze be a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.

5

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy mester titkosítási kulcsot tartalmaz az adatbázis tartalmához. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági rendszergazdákra, akiknek konfigurációs módosításokat kell végezniük.

6

A VMware vSphere kliens bal oldali navigációs paneljén kattintson jobb gombbal a virtuális gépre, majd válassza a Beállítások szerkesztéselehetőséget.

7

Kattintson a Beállítások szerkesztése gombra >CD/DVD 1. meghajtó és válassza az Adattár ISO-fájl lehetőséget.

Győződjön meg arról, hogy a Csatlakoztatva és a Csatlakozás bekapcsoláskor jelölőnégyzetek be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok indítása után érvénybe léphessenek.

8

Kapcsolja be a HDS csomópontot, és győződjön meg arról, hogy legalább 15 percig nincsenek riasztások.

9

Ismételje meg a folyamatot a készenléti adatközpont minden csomópontjánál.

A syslog kimenetének ellenőrzésével győződjön meg arról, hogy a készenléti adatközpont csomópontjai nincsenek passzív módban. A „KMS passzív módban konfigurálva” üzenetnek nem szabad megjelennie a rendszernaplókban.

Mi a következő teendő

Feladattűrés után, ha az elsődleges adatközpont ismét aktívvá válik, a készenléti adatközpontot ismét passzív módba kell helyezni a Készenléti adatközpont beállítása katasztrófa utáni helyreállításhozcímű részben leírt lépéseket követve.

(Opcionális) ISO leválasztása a HDS konfigurációja után

A standard HDS konfiguráció ISO-val felszerelve fut. Néhány ügyfél azonban inkább nem hagyja folyamatosan csatolva az ISO-fájlokat. Az ISO fájlt lecsatolhatod, miután az összes HDS csomópont felvette az új konfigurációt.

Továbbra is az ISO fájlokat használja a konfigurációs módosításokhoz. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Setup Tool segítségével, a frissített ISO-t az összes HDS csomópontra fel kell csatolnia. Miután az összes csomópont felismerte a konfigurációs változtatásokat, ezzel az eljárással újra leválaszthatja az ISO-t.

Mielőtt elkezdené

Frissítse az összes HDS csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1

Kapcsolj ki egy HDS csomópontot.

2

A vCenter Server Appliance-ben válassza ki a HDS csomópontot.

3

Válassza a Beállítások szerkesztése lehetőséget > CD/DVD meghajtó és törölje a jelölést a Datastore ISO Filejelöléséből .

4

Kapcsolja be a HDS csomópontot, és győződjön meg arról, hogy legalább 20 percig nincsenek riasztások.

5

Ismételd meg minden HDS csomópontnál egymás után.

Hibrid adatbiztonsági hibák elhárítása

Riasztások megtekintése és hibaelhárítás

Egy hibrid adatbiztonsági telepítés akkor tekinthető elérhetetlennek, ha a fürt összes csomópontja elérhetetlen, vagy a fürt olyan lassan működik, hogy időtúllépési kéréseket küld. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági fürtöt, a következő tüneteket tapasztalják:

  • Új szóközök nem hozhatók létre (új kulcsok nem hozhatók létre)

  • Üzenetek és területnevek visszafejtése sikertelen a következőhöz:

    • Új felhasználók kerültek hozzáadásra egy helyiséghez (kulcsok lekérése sikertelen)

    • Meglévő felhasználók egy új klienst használó térben (kulcsok lekérése sikertelen)

  • A meglévő felhasználók egy adott területen továbbra is sikeresen futnak, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával.

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági fürtöt, és azonnal reagáljon minden riasztásra a szolgáltatás megszakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonság beállításával, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail címre. A riasztások számos gyakori forgatókönyvet lefednek.

1. táblázat. Gyakori problémák és megoldásuk lépései

Riasztás

Művelet

Helyi adatbázis-hozzáférés sikertelen.

Keressen adatbázishibákat vagy helyi hálózati problémákat.

Helyi adatbázis-kapcsolati hiba.

Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók-hitelesítő adatokat használta-e a csomópont konfigurációjában.

Felhőszolgáltatás-hozzáférési hiba.

Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex-kiszolgálókhoz a Külső csatlakozási követelményekrészben meghatározottak szerint.

Felhőszolgáltatás-regisztráció megújítása.

A felhőszolgáltatások regisztrációja megszakadt. A regisztráció megújítása folyamatban van.

A felhőszolgáltatás regisztrációja megszakadt.

A felhőszolgáltatásokhoz való regisztráció megszakadt. A szolgáltatás leáll.

A szolgáltatás még nincs aktiválva.

Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióra való átállítását.

A konfigurált domain nem egyezik a szerver tanúsítványával.

Győződjön meg arról, hogy a szervertanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománnyal.

A legvalószínűbb ok az, hogy a tanúsítvány CN-jét nemrégiben módosították, és most eltér a kezdeti beállítás során használt CN-től.

Nem sikerült hitelesíteni magát a felhőszolgáltatásokban.

Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.

Nem sikerült megnyitni a helyi kulcstároló fájlt.

Ellenőrizze a helyi kulcstároló fájl integritását és jelszó pontosságát.

A helyi szerver tanúsítványa érvénytelen.

Ellenőrizze a szervertanúsítvány lejárati dátumát, és erősítse meg, hogy megbízható hitelesítésszolgáltató állította ki.

Nem sikerült közzétenni a mutatókat.

Ellenőrizze a helyi hálózat hozzáférését a külső felhőszolgáltatásokhoz.

/media/configdrive/hds A könyvtár nem létezik.

Ellenőrizd az ISO-illesztőprogram konfigurációját a virtuális gépen. Ellenőrizze, hogy az ISO fájl létezik-e, hogy be van-e állítva az újraindításkor történő csatlakoztatás, és hogy a csatlakoztatás sikeresen megtörtént-e.

Hibrid adatbiztonsági hibák elhárítása

A hibrid adatbiztonsággal kapcsolatos problémák elhárításakor a következő általános irányelveket kövesse.
1

Ellenőrizze a Control Hubot az esetleges riasztások szempontjából, és javítsa ki a talált hibákat.

2

Tekintse át a syslog-kiszolgáló kimenetét a hibrid adatbiztonsági központi telepítésből származó tevékenységek szempontjából.

3

Lépjen kapcsolatba a Cisco ügyfélszolgálatával.

Egyéb megjegyzések

Ismert problémák a hibrid adatbiztonsággal kapcsolatban

  • Ha leállítja a Hybrid Data Security klasztert (a Control Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcstároló adatbázishoz, a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek listájuk alatti, a KMS-ből származó kulcsokkal létrehozott szóközöket. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megoldásunk vagy javításunk erre a problémára, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok aktív felhasználói fiókokat kezelnek.

  • Egy kliens, amelynek meglévő ECDH-kapcsolata van egy KMS-sel, egy ideig (valószínűleg egy órán át) fenntartja ezt a kapcsolatot. Amikor egy felhasználó csatlakozik egy hibrid adatbiztonsági próbaverzióhoz, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot használja, amíg az időtúllépés nem következik be. Alternatív megoldásként a felhasználó kijelentkezhet, majd újra bejelentkezhet a Webex alkalmazásba, hogy frissítse azt a helyet, amelyhez az alkalmazás titkosítási kulcsokért fordul.

    Ugyanez a viselkedés fordul elő, amikor egy próbaverziót éles üzembe helyez át a szervezet számára. Minden nem próbaidőszakos felhasználó, aki rendelkezik meglévő ECDH-kapcsolattal a korábbi adatbiztonsági szolgáltatásokhoz, továbbra is használni fogja ezeket a szolgáltatásokat, amíg az ECDH-kapcsolatot újra nem tárgyalják (időtúllépéssel vagy kijelentkezéssel és újbóli bejelentkezéssel).

Futtassa a HDS telepítőeszközt a Podman Desktop segítségével

A Podman egy ingyenes és nyílt forráskódú konténerkezelő eszköz, amely lehetőséget biztosít konténerek futtatására, kezelésére és létrehozására. A Podman Desktop letölthető https://podman-desktop.io/downloadsa címről.

  • A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Az eléréséhez töltse le és futtassa a Podmant az adott gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

    Ha a HDS telepítőeszköz proxy mögött fut a környezetében, akkor a Docker-tároló 5. lépésben történő megnyitásakor adja meg a proxy beállításait (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

    Leírás

    Változó

    Http-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy hitelesítés nélkül

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http-proxy hitelesítéssel

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy hitelesítéssel

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • A létrehozott konfigurációs ISO-fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító főkulcsot. A fájl legújabb példányára minden olyan esetben szüksége lesz, amikor konfigurációs módosításokat végez, például az alábbiakat:

    • Adatbázis hitelesítő adatok

    • Tanúsítványfrissítések

    • Változások az engedélyezési szabályzatban

  • Ha adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy az SQL Server környezetét TLS használatára.

A Hybrid Data Security telepítési folyamata létrehoz egy ISO-fájlt. Ezután az ISO segítségével konfigurálhatja a hibrid adatbiztonsági gazdagépet.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

podman rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

podman rmi ciscocitg/hds-setup-fedramp:stable

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

podman login docker.io -u hdscustomersro
3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

podman pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

  • Rendszeres környezetben, proxy nélkül:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Http proxyval rendelkező normál környezetben:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Normál HTTPS proxy környezetben:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP környezetben, proxy nélkül:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • Http proxyval rendelkező FedRAMP környezetben:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP környezetben https proxyval:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

Mi a következő teendő

Kövesse a Konfigurációs ISO létrehozása a HDS-gazdagépekhez vagy a Csomópont-konfiguráció módosítása című rész további lépéseit az ISO-konfiguráció létrehozásához vagy módosításához.

PKCS12 fájl létrehozása OpenSSL használatával

Mielőtt elkezdené

  • Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl megfelelő formátumban alakítható a HDS Setup Toolba való betöltéshez. Vannak más módok is erre, és mi nem támogatjuk vagy népszerűsítjük az egyik módszert a másikkal szemben.

  • Ha úgy dönt, hogy OpenSSL-t használ, ezt az eljárást útmutatóként biztosítjuk, hogy segítsünk létrehozni egy olyan fájlt, amely megfelel az X.509 tanúsítványkövetelményeknek a X.509 tanúsítványkövetelményekrészben. Mielőtt folytatná, értse meg ezeket a követelményeket.

  • Telepítse az OpenSSL-t egy támogatott környezetben. A szoftverért és a dokumentációért lásd: https://www.openssl.org.

  • Hozz létre egy privát kulcsot.

  • Kezdje el ezt az eljárást, amikor megkapja a szerver tanúsítványát a hitelesítésszolgáltatótól (CA).

1

Amikor megkapja a szerver tanúsítványát a hitelesítésszolgáltatótól, mentse el hdsnode.pemnéven.

2

Jelenítse meg a tanúsítványt szövegként, és ellenőrizze az adatokat.

openssl x509 -text -noout -in hdsnode.pem

3

Egy szövegszerkesztővel hozzon létre egy hdsnode-bundle.pemnevű tanúsítványköteg-fájlt. A kötegfájlnak tartalmaznia kell a szervertanúsítványt, az esetleges köztes CA-tanúsítványokat és a legfelső szintű CA-tanúsítványokat az alábbi formátumban:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Hozza létre a .p12 fájlt a kms-private-keyfelhasználóbarát névvel.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Ellenőrizze a szerver tanúsítványának részleteit.

  1. openssl pkcs12 -in hdsnode.p12

  2. Adjon meg egy jelszót a parancssorba a privát kulcs titkosításához, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a friendlyName: kms-private-keysorokat.

    Példa:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Mi a következő teendő

Vissza a Hibrid adatbiztonság előfeltételeinek teljesítéserészhez. A hdsnode.p12 fájlt és a hozzá beállított jelszót a Konfigurációs ISO létrehozása a HDS-állomásokhozrészben fogod használni.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány igényléséhez, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS csomópontok és a felhő között

Kimenő metrikák gyűjtése forgalom

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a maximális heap-kapacitásra, a felhasznált heap-kapacitásra, a CPU-terhelésre és a szálak számára vonatkozó rendszermetrikák; a szinkron és aszinkron szálakra vonatkozó metrikák; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérések várólistájának hosszát tartalmazó riasztásokra vonatkozó metrikák; az adattárra vonatkozó metrikák; és a titkosítási kapcsolatok metrikái. A csomópontok titkosított kulcsanyagokat küldenek egy sávon kívüli (a kéréstől elkülönített) csatornán.

Bejövő forgalom

A hibrid adatbiztonsági csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

  • Az ügyfelektől érkező titkosítási kérelmek, amelyeket a titkosítási szolgáltatás irányít.

  • A csomópont szoftverének frissítései

Squid proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS forgalmat vizsgáló Squid proxyk zavarhatják a Hybrid Data Security által megkövetelt websocket (wss:) kapcsolatok létrehozását. Ezek a szakaszok útmutatást nyújtanak a Squid különböző verzióinak konfigurálásához, hogy a szolgáltatások megfelelő működése érdekében figyelmen kívül hagyják wss: a forgalmat.

Tintahal 4 és 5

Adja hozzá a on_unsupported_protocol direktívát a squid.conf-hez :

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályok hozzáadásával squid.confa ponthoz. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Hasznos volt ez a cikk?
Hasznos volt ez a cikk?
DíjszabásWebex alkalmazásMeetingsCallingÜzenetküldésKépernyőmegosztás
Webex SuiteCallingMeetingsÜzenetküldésSlidoWebináriumokEventsContact CenterCPaaSBiztonságControl Hub
Mikrofonos fejhallgatókKamerákAsztali sorozatRoom sorozatBoard sorozatPhone sorozatKiegészítők
OktatásEgészségügyKözigazgatásPénzügyekSport és szórakozásArcvonalNonprofit szervezetekStartupokHibrid munkavégzés
LetöltésekCsatlakozás egy tesztértekezlethezOnline kurzusokIntegrációkElérhetőségTársadalmi befogadásÉlő és igény szerinti webináriumokWebex-közösségWebex fejlesztőkHírek és innovációk
CiscoKapcsolatfelvétel az ügyfélszolgálattalKapcsolatfelvétel az értékesítési csoporttalWebex BlogWebex Thought LeadershipWebex Merch StoreKarrier
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Szerződési feltételekAdatvédelmi nyilatkozatSütikVédjegyek
©2025 Cisco és/vagy társvállalatai. Minden jog fenntartva.
Szerződési feltételekAdatvédelmi nyilatkozatSütikVédjegyek