- Kezdőlap
- /
- Cikk
Ebben a cikkbenÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
 | A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
Dátum | Végrehajtott módosítások | ||
|---|---|---|---|
2023. október 20 |
| ||
2023. augusztus 07 |
| ||
2023. május 23 |
| ||
2022. december 06 |
| ||
2022. november 23 |
| ||
2021. október 13 | A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
2021. június 24 | Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. | Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
2021. február 24 | A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
2021. február 2 | A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
2021. január 11 | További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
2020. október 13 | Frissítve Telepítési fájlok letöltése . | ||
2020. október 8. | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
2020. augusztus 14 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
2020. augusztus 5 | Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
2020. június 16 | Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
2020. június 4 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
2020. május 29 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
2020. május 5 | Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
2020. április 21. | Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
2020. április 1. | Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| 2020. február 20 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 4 | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19 | A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
2019. november 8 | Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
2019. szeptember 6 | SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20 | Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
2019. január 24 |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
2018. július 31 |
| ||
| 2018. május 21. | Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22 |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
2017. november 2 |
| ||
2017. augusztus 18 | Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az ügyfelek által az üzenetek és fájlok dinamikus titkosításához és visszafejtéséhez használt titkosítási kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-t és az egyéb biztonsággal kapcsolatos funkciókat a vállalati adatok helyezi át, így Önön kívül senki nem rendelkezik a titkosított tartalmakhoz tartozó kulcsokkal.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hybrid Data Security támogatja az explicit, transzparens vizsgáló és nem ellenőrző proxykat. Ezeket a proxyokat hozzárendelheti a telepítéshez, így biztonságossá teheti és nyomon követheti a vállalattól a felhő felé irányuló forgalmat. A csomópontokon platformrendszergazdai felületet használhat a tanúsítványkezeléshez és az általános kapcsolati állapot ellenőrzéséhez, miután beállította a proxyt a csomópontokon.
A Hybrid Data Security csomópontok a következő proxybeállításokat támogatják:
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítvány frissítésére.
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítvány frissítésére.
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. Nincs szükség HTTP vagy HTTPS konfigurációs módosításokra a csomópontokon. A csomópontoknak azonban szükségük van gyökértanúsítvány , hogy megbízhassanak a proxyban. Az ellenőrző proxykat az informatika általában arra használja, hogy betartassa azokat a szabályzatokat, amelyek alapján mely weboldalak látogathatók, és milyen típusú tartalmak nem engedélyezettek. Az ilyen típusú proxy visszafejti az összes forgalmat (még a HTTPS protokollt is).
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy beállításához minden egyes csomóponton meg kell adnia a következő információkat:
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
HTTP—Megtekinti és vezérli az ügyfél által küldött összes kérést.
HTTPS—Csatornát biztosít a kiszolgáló számára. A kliens megkapja és érvényesíti a kiszolgáló tanúsítványát.
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
Nincs—Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP vagy a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatoló függvényt alkalmaz a felhasználónév és a jelszón a hálózaton keresztüli küldés előtt.
Csak akkor érhető el, ha a HTTPS protokollt választja proxyprotokollként.
Minden csomóponton meg kell adnia a felhasználónév és a jelszót.
Példa hibrid adatbiztonsági csomópontokra és proxyra
Ez az ábra egy példakapcsolatot mutat be a Hybrid Data Security, a hálózat és egy proxy között. A transzparens vizsgálati és HTTPS explicit vizsgálati proxy beállításokhoz ugyanazt a gyökértanúsítvány kell telepíteni a proxyra és a Hybrid Data Security csomópontokra.
Blokkolt külső DNS feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Az explicit proxykonfigurációkkal rendelkező, a belső ügyfelek számára külső DNS -feloldást nem engedélyező telepítéseknél, ha a csomópont nem tudja lekérdezni a DNS -kiszolgálókat, automatikusan Blokkolt külső DNS -feloldás módba lép. Ebben a módban a csomópont regisztrációja és egyéb proxykapcsolati tesztek folyhatnak.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy a szervezetnek fizetős előfizetésre van szüksége a Docker Desktop alkalmazáshoz. A részletekért lásd a Docker blogbejegyzést, " A Docker frissíti és kiterjeszti termék-előfizetéseit ".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
Követelmény | részletei |
|---|---|
| Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
| A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
| A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
| A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) | Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC illesztőprogram 42.2.5 | SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
Alkalmazás | Protokoll | Port | Útvonal az alkalmazásból | Cél |
|---|---|---|---|---|
Hibrid adatbiztonsági csomópontok | TCP | 443 | Kimenő HTTPS és WSS |
|
HDS beállító eszköz | TCP | 443 | Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
Régió | Common Identity Host URL-ek |
|---|---|
Amerika |
|
Európai Unió |
|
Kanada |
|
Proxykiszolgáló követelményei
Hivatalosan az alábbi proxymegoldásokat támogatjuk, amelyek integrálhatók a Hybrid Data Security csomópontjaival.
Átlátszó proxy— Cisco web Security Appliance (WSA).
Explicit proxy—Squid.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) létrehozását. kapcsolatokat. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
Az explicit proxykhoz a következő hitelesítési típus-kombinációkat támogatjuk:
Nincs hitelesítés HTTP vagy HTTPS protokollal
Alapszintű hitelesítés HTTP vagy HTTPS protokollal
Kivonatalapú hitelesítés csak HTTPS-sel
Átlátszó vizsgáló proxy vagy HTTPS explicit proxy esetén rendelkeznie kell a proxy gyökértanúsítvány egy példányával . Az ebben az útmutatóban található telepítési utasítások ismertetik, hogyan töltheti fel a példányt a Hybrid Data Security csomópontok bizalmi tárolóiba.
A HDS-csomópontokat kiszolgáló hálózatot úgy kell beállítani, hogy a 443-as porton a kimenő TCP -forgalmat a proxyn keresztül irányítsa.
A webes forgalmat vizsgáló proxy-k zavarhatják a webes szoftvercsatorna-kapcsolatokat. Ha ez a probléma jelentkezik, a(z) forgalom megkerülése (nem ellenőrző) a következőhöz:
wbx2.comésciscospark.commegoldja a problémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 | Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 | Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 | Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 | Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 | A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 | Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 | Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 | Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 | A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel: http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 | Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 | Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 | Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 | Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 | Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 | Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 | Konfigurálja a HDS-csomópontot a proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 | Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 | További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 | Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 | Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 | Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 | Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTAz Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
Adatbázis hitelesítő adatok
Tanúsítványfrissítések
Az engedélyezési házirend változásai
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 | A gépe parancssorában adja meg a környezetének megfelelő parancsot: Normál környezetben: FedRAMP-környezetekben:
| ||||||||||||
| 2 | A Docker lemezkép-nyilvántartásba való bejelentkezéshez adja meg a következőt: | ||||||||||||
| 3 | A jelszót kérő párbeszédpanelen adja meg ezt a hash-t: | ||||||||||||
| 4 | Töltse le a legújabb stabil lemezképet a környezetéhez: Normál környezetben: FedRAMP-környezetekben: | ||||||||||||
| 5 | Amikor a lehívás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a tároló fut, az „Express szerver figyel a 8080-as porton” üzenet látható. | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 | Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 | A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 | A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 | Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 | Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 | Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gazdagép nevét is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenet meg a problémáról. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytassa-e a telepítést. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 | A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 | (Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 | Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 | Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 | A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 | Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 | A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 | A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 | A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 | Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 | Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 | A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 | A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 | A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 | Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 | A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 | Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 | Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 | Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 | (Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 | Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 | Töltse fel az ISO fájlt a számítógépéről: |
| 2 | Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
Konfigurálja a HDS-csomópontot a proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, akkor ezzel az eljárással adja meg a Hybrid Data Security rendszerrel integrálni kívánt proxytípust. Ha transzparens vizsgáló proxyt vagy HTTPS explicit proxyt választ, akkor a csomópont felületéről töltheti fel és telepítheti a gyökértanúsítvány. A proxykapcsolatot a felületről is ellenőrizheti, és elháríthatja az esetleges problémákat.
Mielőtt elkezdené
Lásd Proxy támogatás a támogatott proxybeállítások áttekintéséért.
| 1 | Adja meg a HDS-csomópont-beállítási URL -címet |
| 2 | Ugrás ide: Trust Store és Proxy , majd válasszon egy lehetőséget:
Kövesse a következő lépéseket egy transzparens vizsgáló proxy, egy alapvető hitelesítésű HTTP explicit proxy vagy egy HTTPS explicit proxy esetén. |
| 3 | Kattintson Töltsön fel egy legfelső szintű tanúsítványt vagy egy entitás záró tanúsítványt , majd navigáljon egy válassza ki a gyökértanúsítvány a proxyhoz. A tanúsítvány feltöltve, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. Kattintson a tanúsítvány kibocsátója neve mellett található nyílra a további részletekért, vagy kattintson a gombra Törlés lehetőségre ha hibázott, és szeretné újra feltölteni a fájlt. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot hogy tesztelje a hálózati kapcsolat a csomópont és a proxy között. Ha a kapcsolatteszt sikertelen, egy hibaüzenet meg, amely bemutatja a probléma okát és a probléma elhárításának módját. Ha azt látja, hogy a külső DNS -feloldás sikertelen volt, a csomópont nem tudta elérni a DNS-kiszolgáló. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 | Miután a kapcsolati teszt sikeres volt, kapcsolja be a kapcsolót csak https-re állított explicit proxy esetén Az összes 443/444-es port https-kérést erről a csomópontról továbbítsa az explicit proxyn keresztül . Ennek a beállításnak 15 másodpercre van szüksége ahhoz, hogy életbe lépjen. |
| 6 | Kattintson Telepítse az összes tanúsítványt a Trust Store-ba (explicit HTTPS proxy vagy transzparens vizsgáló proxy esetén jelenik meg) vagy Újraindítás (explicit HTTP-proxy esetén jelenik meg), olvassa el a promptot, majd kattintson a gombra Telepítés ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 | Miután a csomópont újraindul, szükség esetén jelentkezzen be újra, majd nyissa meg a Áttekintés oldalt, hogy ellenőrizze a kapcsolati ellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat-ellenőrzés csak a webex.com egy altartományát teszteli. Kapcsolódási problémák esetén gyakori probléma az, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike blokkolva van a proxynál. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Jelentkezzen be ide: https://admin.webex.com. |
| 2 | A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 | Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 | Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 | A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 | Kattintson Lépjen a Node-ra . |
| 8 | Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 | Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 | Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 | Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 | Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 | Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 | Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 | Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 | Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 | Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 | A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 | Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 | Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 | Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
Állítsa be a Hybrid Data Security telepítését.
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 | Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 | Üzenetek küldése az új szobába. | ||
| 3 | Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 | Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 | A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 | Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 | Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson Mentés . |
Áthelyezés próbaidőszakról élesre
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 | Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 | Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 | A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 | A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 | Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 | Jelentkezzen be ide: Control Hub . |
| 2 | Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 | A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 | A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 | A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
Az x.509-es tanúsítványok módosítása lejárat vagy egyéb okok miatt.
Nem támogatjuk a tanúsítványok CN tartomány neve módosítását. A tartománynak meg kell egyeznie a fürt regisztrálásához használt eredeti tartománynal.
Az adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis replikájára történő módosításhoz.
Nem támogatjuk az adatok PostgreSQL-ből Microsoft SQL Server rendszerbe történő áttelepítését, vagy fordítva. Az adatbázis-környezet váltásához kezdje el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Ezenkívül biztonsági okokból a Hybrid Data Security kilenc hónapos élettartammal rendelkező szolgáltatásfiók fiókjelszavakat használ. Miután a HDS Setup eszköz előállította ezeket a jelszavakat, telepítenie kell őket az egyes HDS-csomópontokra az ISO konfigurációs fájlban. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától, hogy állítsa vissza a jelszavát a számítógépes fiókjához. (Az e-mail tartalmazza a következő szöveget: "A jelszó frissítéséhez használja a gépfiók API -t.") Ha a jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot az ISO -fájl fokozatos cseréjéhez a csomópontokon.
Hard reset — A régi jelszavak azonnal leállnak.
Ha a jelszavai alaphelyzetbe állítás nélkül lejárnak, az hatással lesz a HDS-szolgáltatására, és azonnali hard-reset-et és az ISO -fájl cseréjét teszi szükségessé az összes csomóponton.
Ezzel az eljárással hozhat létre új konfigurációs ISO -fájlt, és alkalmazhatja a fürtre.
Mielőtt elkezdené
A HDS telepítő eszköz Docker-tárolóként fut egy helyi gépen. Az eléréséhez futtassa a Dockert az adott gépen. A telepítési folyamathoz a szervezet teljes rendszergazdai jogosultságával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót ad meg:
Leírás
Változó
HTTP-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-proxy hitelesítéssel
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy hitelesítéssel
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTÚj konfiguráció létrehozásához szüksége van a jelenlegi konfigurációs ISO -fájl egy példányára. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szüksége van az ISO -ra, amikor konfigurációt módosít, beleértve az adatbázis hitelesítő adatait, a tanúsítványfrissítéseket vagy a hitelesítési házirend módosításait.
| 1 | A Dockerrel egy helyi gépen futtassa a HDS telepítőeszközt.
| ||||||
| 2 | Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 | A régebbi konfigurációs fájl futtató, meglévő HDS-csomópontok esetén csatolja be az ISO fájlt. Végezze el a következő eljárást az egyes csomópontokon, és frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 | Ismételje meg a 3. lépést a konfiguráció lecseréléséhez az összes többi, a régi konfigurációt futtató csomóponton. |
Kapcsolja ki a Blokkolt külső DNS -feloldási módot
Amikor regisztrál egy csomópontot, vagy ellenőrzi a proxykonfigurációt, a folyamat teszteli a DNS -keresést és a Cisco Webex -felhőhöz való kapcsolódást. Ha a csomópont DNS-kiszolgáló nem tudja feloldani a nyilvános DNS -neveket, a csomópont automatikusan Blokkolt külső DNS -feloldás módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS -neveket a belső DNS -kiszolgálókon keresztül, akkor kikapcsolhatja ezt a módot a proxykapcsolat tesztjének újrafuttatásával az egyes csomópontokon.
Mielőtt elkezdené
| 1 | Egy webböngészőben nyissa meg a Hybrid Data Security csomópont felületét (IP-cím/setup például,https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a gombra Jelentkezzen be . |
| 2 | Ugrás ide: Áttekintés (az alapértelmezett oldal). Ha engedélyezve van, Blokkolt külső DNS feloldás értékre van állítva Igen . |
| 3 | Lépjen a következőre: Trust Store és Proxy oldalon. |
| 4 | Kattintson Ellenőrizze a proxykapcsolatot . Ha egy üzenetet lát arról, hogy a külső DNS -feloldás sikertelen volt, akkor a csomópont nem tudta elérni a DNS-kiszolgáló , és ebben az üzemmódban marad. Ellenkező esetben a csomópont újraindítása után térjen vissza a Áttekintés oldalon, a Blokkolt külső DNS -felbontás értéket nem értékre kell beállítani. |
Mi a következő teendő
Csomópont eltávolítása
| 1 | A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 | Csomópont eltávolítása: |
| 3 | A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 | Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 | A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 | A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 | Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 | Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 | A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 | Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 | Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 | Állítsa le az egyik HDS-csomópontot. |
| 2 | A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 | Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 | Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 | Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
Riasztás | Művelet |
|---|---|
Helyi adatbázis-hozzáférési hiba. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 | Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 | Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 | Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
Hozzon létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 | Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 | Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 | Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 | Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 | Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud kapcsolódni a Squid-proxyn keresztül
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss:) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Squid 4 és 5
Adja hozzá a on_unsupported_protocol utasítást squid.conf:
on_unsupported_protocol tunnel allTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot az alábbi szabályokkal kiegészítve squid.conf. Ezek a szabályok a funkciók fejlesztésével és a Webex felhő frissítésével összefüggésben változhatnak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allÚj és módosított információk
|
Dátum |
Végrehajtott módosítások | ||
|---|---|---|---|
|
2023. október 20 |
| ||
|
2023. augusztus 07 |
| ||
|
2023. május 23 |
| ||
|
2022. december 06 |
| ||
|
2022. november 23 |
| ||
|
2021. október 13. |
A HDS-csomópontok telepítése előtt a Docker Desktopnak telepítőprogramot kell futtatnia. Lásd Docker asztali követelmények . | ||
|
Június 24, 2021 |
Megjegyezte, hogy a privát kulcsfájlt és a CSR -t fel lehet használni egy másik tanúsítvány kéréséhez. Lásd Az OpenSSL használata PKCS12-fájl létrehozásához a részletekért. | ||
| 2021. április 30. |
Módosult a helyi merevlemez-területre vonatkozó VM -szükséglet 30 GB-ra. Lásd Virtuális kiszolgálóra vonatkozó követelmények a részletekért. | ||
|
2021. február 24. |
A HDS Setup Tool mostantól proxy mögött is futhat. Lásd Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a részletekért. | ||
|
2021. február 2. |
A HDS mostantól csatlakoztatott ISO -fájl nélkül is futhat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért. | ||
|
2021. január 11 |
További információk a HDS Setup eszközről és a proxykről Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
|
Október 13, 2020 |
Frissítve Telepítési fájlok letöltése . | ||
|
2020. október 8. |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt parancsokkal a FedRAMP környezetekhez. | ||
|
14. augusztus 2020. |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára és Módosítsa a csomópont-konfigurációt a bejelentkezési folyamat módosításával. | ||
|
2020. augusztus 5 |
Frissítve Tesztelje hibrid adatbiztonsági telepítését a naplóüzenetek változásaihoz. Frissítve Virtuális kiszolgálóra vonatkozó követelmények hogy távolítsa el a maximális szám gazdagépet. | ||
|
2020. június 16 |
Frissítve Csomópont eltávolítása a Control Hub felhasználói felületén végrehajtott módosításokhoz. | ||
|
2020. június 4 |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára az esetlegesen beállított Speciális beállítások módosításához. | ||
|
2020. május 29 |
Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára hogy bemutassa, használhatja a TLS -t az SQL Server adatbázisokkal, a felhasználói felület módosításaival és egyéb pontosításokkal is. | ||
|
2020. május 5 |
Frissítve Virtuális kiszolgálóra vonatkozó követelmények az ESXi 6.5 új követelményének megjelenítéséhez. | ||
|
2020. április 21. |
Frissítve Külső csatlakozási követelmények új Americas CI-szervezőkkel. | ||
|
2020. április 1. |
Frissítve Külső csatlakozási követelmények a regionális CI-szervezők információival. | ||
| Február 20, 2020 | Frissítve Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára a HDS Setup Tool új opcionális Speciális beállítások képernyőjével kapcsolatos információkkal. | ||
| 2020. február 12. | Frissítve Proxykiszolgáló követelményei . | ||
| 2019. december 16. | Tisztáztuk a Blokkolt külső DNS -feloldási mód működésére vonatkozó követelményt Proxykiszolgáló követelményei . | ||
| 2019. november 19. |
A következő szakaszok a Blokkolt külső DNS -feloldási móddal kapcsolatos információkkal bővültek: | ||
|
2019. november 8. |
Mostantól már az OVA üzembe helyezése közben is konfigurálhatja a csomópontok hálózati beállítások , nem pedig azt követően. Ennek megfelelően frissítette a következő szakaszokat:
| ||
|
2019. szeptember 6. |
SQL Server Standard hozzáadva a következőhöz: Adatbázis-kiszolgáló követelményei . | ||
| 2019. augusztus 29. | Hozzáadva Squid-proxyk konfigurálása hibrid adatbiztonsághoz függelék útmutatást ad a Squid-proxyk beállításához, hogy figyelmen kívül hagyják a websocket-forgalmat a megfelelő működés érdekében. | ||
| 2019. augusztus 20. |
Hozzáadott és frissített szakaszok ismertetik a Hybrid Data Security csomóponti kommunikációjának proxytámogatását a Webex felhő felé. Ha egy meglévő telepítéshez csak a proxytámogatási tartalmat szeretné elérni, lásd: Hibrid adatbiztonság és Webex Video Mesh proxytámogatás súgócikk. | ||
| 2019. június 13 | Frissítve A próbaidőszakból a gyártási feladatfolyamat emlékeztetővel, hogy szinkronizálja a HdsTrialGroup csoport objektumot a próbaidőszak megkezdése előtt, ha a szervezet címtár-szinkronizálást használ. | ||
| 2019. március 6 |
| ||
| 2019. február 28. |
| ||
| 2019. február 26. |
| ||
|
2019. január 24. |
| ||
| 2018. november 5 |
| ||
| 2018. október 19 |
| ||
|
2018. július 31 |
| ||
| 2018. május 21. |
Módosult a terminológia, hogy tükrözze a Cisco Spark márkaváltását:
| ||
| 2018. április 11 |
| ||
| 2018. február 22. |
| ||
| 2018. február 15. |
| ||
| 2018. január 18. |
| ||
|
2017. november 2 |
| ||
|
2017. augusztus 18 |
Első közzététel |
Hibrid adatbiztonsági áttekintés
A Webex alkalmazás tervezése során az első naptól kezdve az adatbiztonság volt az elsődleges szempont. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex App-kliensek tesznek lehetővé a kulcskezelési szolgáltatással (KMS) együttműködve. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.
Alapértelmezés szerint minden Webex App-ügyfél végpontok közötti titkosítást kap a felhőalapú KMS-ben tárolt dinamikus kulcsokkal, a Cisco biztonsági területén. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.
Biztonsági birodalmi architektúra
A Webex a különböző típusú szolgáltatásokat külön tartományokba vagy bizalmi tartományokba osztja, az alábbiak szerint.
A hibrid adatbiztonság további megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco az összes funkciót biztosítja a felhőterületén. Az identitásszolgáltatás az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például az e- e-mail-cím, logikailag és fizikailag elkülönül a B adatközpont biztonsági területétől. Mindkettő különálló attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják , a C adatközpont .
Az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, amely az identitásszolgáltatással hitelesített. Amikor a felhasználó egy szobába küldendő üzenetet ír, a következő lépések mennek végbe:
-
Az ügyfél biztonságos kapcsolat a kulcskezelési szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
-
Az üzenetet a rendszer titkosítja, mielőtt elhagyná a klienst. A kliens elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a tartalom jövőbeli keresését.
-
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgálatnak megfelelőségi ellenőrzés céljából.
-
A titkosított üzenetet a rendszer a tárhelytartományban tárolja.
A Hybrid Data Security telepítésekor áthelyezi a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) a helyszíni adatközpont. A Webex alkotó többi felhőszolgáltatás (beleértve az identitás- és tartalomtárolást) a Cisco birodalmában marad.
Együttműködés más szervezetekkel
A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást arra, hogy más szervezetekben lévő külső résztvevőkkel együttműködjenek. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely a szervezet tulajdonában van (mert azt az egyik felhasználója hozta létre), a KMS elküldi a kulcsot az ügyfélnek egy ECDH által védett csatornán keresztül. Ha azonban egy másik szervezet birtokolja a szobához tartozó kulcsot, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex -felhőbe, hogy megkapja a kulcsot a megfelelő KMS-től, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.
Az A szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez tartó kapcsolatokat. Lásd Készítse elő a környezetét a Hybrid Data Security telepítéséhez használható x.509-tanúsítvány generálásával kapcsolatos részletekért.
A hibrid adatbiztonság telepítésével kapcsolatos elvárások
A Hybrid Data Security telepítése jelentős ügyfél-kötelezettséget igényel, és tisztában van a titkosítási kulcsok birtoklásával járó kockázatokkal.
A Hybrid Data Security üzembe helyezéséhez meg kell adnia:
-
Biztonságos adatközpont egy olyan országban, amely a a Cisco Webex Teams csomagok támogatott helye .
-
pontban leírt berendezés, szoftver és hálózati hozzáférés Készítse elő a környezetét .
A Hybrid Data Security számára létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és más titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:
-
Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
-
Készüljön fel a gyors katasztrófa utáni helyreállítás , ha katasztrófa történik, például adatbázislemez-hiba vagy adatközpont katasztrófa esetén.
| A HDS-telepítés után nincs olyan mechanizmus, amely visszahelyezné a kulcsokat a felhőbe. |
Magas szintű telepítési folyamat
Ez a dokumentum a Hybrid Data Security telepítésének beállítását és kezelését tárgyalja:
Hibrid adatbiztonság beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a Hybrid Data Security szoftver telepítését, a telepítés tesztelését a felhasználók egy részével próba módban, és a tesztelés befejeztével az éles rendszerre való átállást. Ezáltal a teljes szervezet a Hybrid Data Security fürtjét használja a biztonsági funkciókhoz.
A telepítési, próbaverziós és gyártási szakaszokat a következő három fejezet részletesen tárgyalja.
-
Karbantartja a Hybrid Data Security telepítését — A Webex felhő automatikusan biztosítja a folyamatos frissítéseket. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén a Cisco-támogatás is igénybe veheti. A Control Hubban képernyőn megjelenő értesítéseket használhat, és e-mail-alapú riasztásokat állíthat be.
-
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat — Ha problémába ütközik a Hybrid Data Security telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és kijavításában.
Hibrid adatbiztonsági telepítési modell
A vállalati adatok belül a Hybrid Data Security-t egyetlen csomópont-fürtként, különálló virtuális gazdagépen telepítheti. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.
A telepítési folyamat során biztosítjuk az OVA-fájlt a virtuális készülék beállításához az Ön által biztosított virtuális gépeken. A HDS telepítőeszközzel egyéni fürtkonfigurációs ISO -fájlt hozhat létre, amelyet az egyes csomópontokra csatlakoztat. A Hybrid Data Security fürt a megadott Syslogd kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis kapcsolat részleteit a HDS telepítő eszközben konfigurálhatja.)
Az egy fürtben elérhető csomópontok minimális száma kettő. Javasoljuk, hogy legalább három legyen, és legfeljebb öt lehet. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg a csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex felhő egyszerre csak egy csomópontot frissít.)
A fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységet. Maguk a csomópontok állapot nélküliek, és a kulcskéréseket a felhő utasításainak megfelelően, körbe-körbe kezelik.
A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Control Hubon. Ha ki szeretné vonni egy adott csomópontot a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.
Szervezetenként csak egyetlen fürtöt támogatunk.
Hibrid adatbiztonsági próba mód
A Hybrid Data Security üzembe helyezése után először próbálja ki a kísérleti felhasználók csoportjával. A próbaidőszak alatt ezek a felhasználók az Ön helyszíni Hybrid Data Security tartományát használják titkosítási kulcsokhoz és egyéb biztonsági tartományi szolgáltatásokhoz. A többi felhasználó továbbra is a felhőalapú biztonsági tartományt használja.
Ha úgy dönt, hogy a próbaidőszak alatt nem folytatja a telepítést, és deaktiválja a szolgáltatást, a kísérleti felhasználók, valamint azok a felhasználók, akikkel a próbaidőszak során új tárhelyek létrehozásával kapcsolatba léptek, elveszítik hozzáférésüket az üzenetekhez és a tartalmakhoz. „Ez az üzenet nem fejthető vissza” üzenet jelenik meg a Webex alkalmazásban.
Ha meggyőződött arról, hogy a telepítés jól működik a próbaidőszakos felhasználók számára, és készen áll a Hybrid Data Security kiterjesztésére az összes felhasználóra, akkor helyezze át a központi telepítést éles verzióra. A kísérleti felhasználók továbbra is hozzáférhetnek a próbaidőszak alatt használt kulcsokhoz. Nem lehet azonban oda-vissza mozogni az éles mód és az eredeti próbaverzió között. Ha deaktiválnia kell a szolgáltatást, például a vész- katasztrófa utáni helyreállítás végrehajtásához , újraaktiváláskor új próbaidőszakot kell elindítania, és be kell állítania az új próbaidőszakhoz tartozó felhasználói csoportot, mielőtt visszaállna az éles módba. Az, hogy a felhasználók ezen a ponton fenntartják-e az adatokhoz való hozzáférést, attól függ, hogy sikeresen karbantartotta-e a adattár és az ISO konfigurációs fájl biztonsági másolatát a fürtben lévő hibrid adatbiztonsági csomópontokhoz.
Készenléti adatközpont vész-helyreállításhoz
A telepítés során be kell állítania egy biztonságos készenléti adatközpont. adatközpont .
Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, így minimálisra csökken a feladatátvétel végrehajtásához szükséges idő. A készenléti adatközpont ISO -fájlja további konfigurációkkal frissül, amelyek biztosítják, hogy a csomópontok regisztrálva legyenek a szervezetnél, de nem kezelik a forgalmat. Így a készenléti adatközpont csomópontjai mindig naprakészek maradnak a HDS szoftver legújabb verziójával.
| Az aktív Hybrid Data Security csomópontoknak mindig ugyanabban az adatközpont kell lenniük, mint az aktív adatbázis-kiszolgáló. |
Készenléti adatközpont beállítása vész-helyreállításhoz
Kövesse az alábbi lépéseket a készenléti adatközpont ISO -fájljának konfigurálásához:
Mielőtt elkezdené
-
A készenléti adatközpont tükröznie kell a virtuális gépek éles környezetét és egy biztonsági PostgreSQL- vagy Microsoft SQL Server-adatbázist. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. (Lásd Készenléti adatközpont vész-helyreállításhoz a feladatátvételi modell áttekintéséért.)
-
Győződjön meg arról, hogy az adatbázis-szinkronizálás engedélyezve van az aktív és a passzív fürtcsomópontok adatbázisa között.
| 1 |
Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| ||
| 2 |
A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 |
A következőn: Speciális beállítások elemre oldalon adja hozzá az alábbi konfigurációt a csomópont passzív módba helyezéséhez. Ebben a módban a csomópont regisztrálva lesz a szervezetnél, és csatlakozik a felhőhöz, de nem kezel forgalmat.
| ||
| 4 |
Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 |
Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 |
A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 |
Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 |
Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
A konfigurálás után passiveMode az ISO fájlban és elmentve, létrehozhat egy másik másolatot az ISO fájlból anélkül, hogy a passiveMode konfigurációt, és mentse el egy biztonságos helyre. Az ISO -fájl ezen másolata nélkül passiveMode konfigurálva segíthet a gyors feladatátvételi folyamatban a vész- katasztrófa utáni helyreállítás során. Lásd Katasztrófa utáni helyreállítás készenléti adatközpont segítségével a részletes feladatátvételi eljáráshoz.
Proxy támogatás
A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.
A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:
-
Nincs proxy — Az alapértelmezett érték, ha nem a HDS-csomópont-beállítás Trust Store & Proxy konfigurációt használja proxy integrálására. Nincs szükség tanúsítványfrissítésre.
-
Átlátszó, nem ellenőrző proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak, és nincs szükségük módosításra ahhoz, hogy nem ellenőrző proxyval működjenek együtt. Nincs szükség tanúsítványfrissítésre.
-
Átlátszó tunneling vagy vizsgáló proxy — A csomópontok nincsenek úgy konfigurálva, hogy egy adott proxykiszolgáló címet használjanak. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
-
Explicit proxy — Explicit proxy esetén meg kell adnia a HDS-csomópontoknak, hogy melyik proxykiszolgáló és hitelesítési sémát használják. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
-
Proxy IP/FQDN —A proxygép eléréséhez használható cím.
-
Proxyport —Az a portszám , amelyet a proxy a proxyzott forgalom figyelésére használ.
-
Proxy protokoll — Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
-
HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
-
HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
-
-
hitelesítéstípus — Válasszon a következő hitelesítési típusok közül:
-
Egyik sem — Nincs szükség további hitelesítésre.
Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
-
Alapszintű – HTTP User Agent esetén használatos, amely felhasználónév és jelszót ad meg kéréskor. Base64 kódolást használ.
Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
-
Digest — A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldene el. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
-
-
Példa hibrid adatbiztonsági csomópontokra és proxykra
Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.
Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)
Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.
A hibrid adatbiztonság követelményei
Cisco Webex licenckövetelmények
A Hybrid Data Security üzembe helyezése:
-
Rendelkeznie kell Pro csomaggal a Cisco Webex Control Hub. (Lásdhttps://www.cisco.com/go/pro-pack .)
Docker asztali követelmények
A HDS-csomópontok telepítése előtt telepítőprogram futtatásához szüksége van a Docker Desktop alkalmazásra. A Docker nemrég frissítette a licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".
X.509 Tanúsítványkövetelmények
A tanúsítványlánc meg kell felelnie a következő követelményeknek:
|
Követelmény |
részletei |
|---|---|
|
Alapértelmezés szerint megbízunk a Mozilla listáján szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével)https://wiki.mozilla.org/CA:IncludedCAs . |
|
A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: A CN nem tartalmazhat * karaktert (cserélő karakter). A CN a Hybrid Data Security csomópontok ellenőrzésére szolgál a Webex App-ügyfelek számára. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN tartomány alapján azonosítja magát, nem pedig az x.509v3 SAN mezőkben meghatározott tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN tartomány neve módosítását . Válasszon egy tartományt, amely mind a próbaverziós, mind az éles telepítésre alkalmazható. |
|
A KMS-szoftver nem támogatja az SHA1 aláírásokat a más szervezetek KMS-rendszereihez fűződő kapcsolatok érvényesítéséhez. |
|
A tanúsítvány formátumának megváltoztatásához használhat konvertereket, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót. |
A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozások vonatkozzanak az egyes tanúsítványokra, például a kiszolgáló hitelesítésre. Rendben van a kiszolgáló hitelesítés vagy egyéb beállítások használata.
Virtuális kiszolgálóra vonatkozó követelmények
A fürtben hibrid adatbiztonsági csomópontként beállítani kívánt virtuális gazdagépeknek a következő követelményeknek kell megfelelniük:
-
Legalább két külön gazdagép (3 ajánlott), amelyek ugyanabban a biztonságos adatközpont el
-
A VMware ESXi 6.5 (vagy újabb) telepítve és futva.
Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
-
Szerverenként legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület
Adatbázis-kiszolgáló követelményei
| Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A telepítés után a HDS-alkalmazások hozzák létre az adatbázissémát. |
Két lehetőség közül választhat az adatbázis-kiszolgáló. Az egyes követelmények a következők:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
Minimum 8 vCPU, 16 GB fő memória, elegendő hely a merevlemezen, és figyelni kell, hogy ne lépje túl ezt (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül) |
A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgáló való kommunikációhoz:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC illesztőprogram 42.2.5 |
SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Mindig feladatátvételi fürtpéldányokon és Mindig aktív rendelkezésre állási csoportok ). |
További követelmények a Microsoft SQL Serverrel végzett Windows-hitelesítéshez
Ha azt szeretné, hogy a HDS-csomópontok Windows hitelesítéssel férhessenek hozzá a Microsoft SQL Serveren lévő kulcstároló adatbázishoz, akkor a következő konfigurációra van szüksége a környezetben:
-
A HDS-csomópontokat, az Active Directory infrastruktúrát és az MS SQL Servert mind szinkronizálni kell az NTP-vel.
-
A HDS-csomópontok számára biztosított Windows fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
-
A HDS-csomópontok számára biztosított DNS -kiszolgálóknak fel kell tudniuk oldani a Kulcselosztó Központot (KDC).
-
A HDS-adatbázispéldányt a Microsoft SQL Serveren regisztrálhatja egyszerű szolgáltatásnévként (SPN) az Active Directory-n. Lásd Regisztráljon egy egyszerű szolgáltatásnevet a Kerberos Connections számára .
A HDS telepítő eszköznek, a HDS indítónak és a helyi KMS-nek egyaránt Windows hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az Ön ISO -konfigurációjának adatai alapján hozzák létre az SPN-t, amikor Kerberos-hitelesítéssel kérnek hozzáférést.
Külső csatlakozási követelmények
Állítsa be a tűzfalat úgy, hogy engedélyezze a következő csatlakozásokat a HDS-alkalmazások számára:
|
Alkalmazás |
Protokoll |
Port |
Útvonal az alkalmazásból |
Cél |
|---|---|---|---|---|
|
Hibrid adatbiztonsági csomópontok |
TCP |
443 |
Kimenő HTTPS és WSS |
|
|
HDS beállító eszköz |
TCP |
443 |
Kimenő HTTPS |
|
| A Hybrid Data Security csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélpontokhoz. A Hybrid Data Security csomópontokba bejövő kapcsolatok esetén ne legyenek láthatók az internetről érkező portok. Az adatközpont belül az ügyfeleknek adminisztratív célból hozzá kell férniük a hibrid adatbiztonsági csomópontokhoz a 443-as és 22-es TCP -portokon. |
A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-szervezők:
|
Régió |
Common Identity Host URL-ek |
|---|---|
|
Amerika |
|
|
Európai Unió |
|
|
Kanada |
|
Proxykiszolgálói követelmények
-
Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
-
Átlátszó proxy – Cisco Web Security Appliance (WSA).
-
Explicit proxy – tintahal.
A HTTPS-forgalmat vizsgáló Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megkerüléséhez lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz .
-
-
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
-
Nincs hitelesítés HTTP-vel vagy HTTPS-rel
-
Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
-
Hitelesítés megemésztése csak HTTPS-rel
-
-
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
-
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
-
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése)
wbx2.com és ciscospark.com megoldja aproblémát.
Töltse ki a hibrid adatbiztonság előfeltételeit
| 1 |
Győződjön meg arról, hogy a Webex -szervezetben engedélyezve van a Pro Pack for Cisco Webex Control Hub alkalmazás, és szerezze be egy teljes szervezeti rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Ehhez a folyamathoz forduljon a Cisco -partnerhez vagy a fiókkezelőhöz. | ||
| 2 |
Válasszon egy tartomány neve a HDS-telepítéshez (például | ||
| 3 |
Készítsen elő azonos virtuális gazdagépeket, amelyeket hibrid adatbiztonsági csomópontként fog beállítani a fürtben. Szüksége van legalább két különálló gazdagépre (3 javasolt), amelyek ugyanabban a biztonságos adatközpont el, és amelyek megfelelnek a következő követelményeknek: Virtuális kiszolgálóra vonatkozó követelmények . | ||
| 4 |
Készítse elő azt az adatbázis-kiszolgáló , amely a fürt kulcsfontosságú adattár fog működni, a szerint Adatbázis-kiszolgáló követelményei . Az adatbázis-kiszolgáló a biztonságos adatközpont kell elhelyezni a virtuális gazdagépekkel. | ||
| 5 |
A gyors katasztrófa utáni helyreállítás érdekében állítson be biztonsági mentési környezetet egy másik adatközpont. A biztonsági mentési környezet a virtuális gépek és a biztonsági mentési adatbázis-kiszolgáló éles környezetét tükrözi. Például, ha az éles környezetben 3 HDS-csomópontot futtató virtuális gép van, a biztonsági mentési környezetnek 3 virtuális géppel kell rendelkeznie. | ||
| 6 |
Állítson be egy syslog gazdagépet a naplók gyűjtésére a fürt csomópontjairól. Gyűjtse össze a hálózati cím és a syslog portját (alapértelmezett UDP 514). | ||
| 7 |
Hozzon létre egy biztonságos mentési házirendet a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgáló és a syslog gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO -fájlról.
A Webex App kliensek gyorsítótárazzák a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Bár az ideiglenes kieséseket lehetetlen megakadályozni, de helyrehozhatók. Mindazonáltal akár az adatbázis, akár a konfigurációs ISO -fájl teljes elvesztése (nem áll rendelkezésre biztonsági mentés) helyreállíthatatlan ügyféladatokat eredményez. A Hybrid Data Security csomópontok üzemeltetőitől elvárják, hogy gyakran készítsenek biztonsági másolatot az adatbázisról és a konfigurációs ISO fájlról, és legyenek készen arra, hogy katasztrofális hiba esetén újraépítsék a Hybrid Data Security adatközpont . | ||
| 8 |
Gondoskodjon arról, hogy a tűzfalkonfigurációja lehetővé tegye a hibrid adatbiztonsági csomópontok csatlakoztatását az alábbiak szerint Külső csatlakozási követelmények . | ||
| 9 |
A Docker telepítése (https://www.docker.com ) támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtató bármely helyi gépen, amely a következő címen érhető el webböngészővel:http://127.0.0.1:8080. A Docker-példány segítségével töltheti le és futtathatja a HDS telepítőeszközt, amely az összes Hybrid Data Security csomópont helyi konfigurációs információ állítja össze. Előfordulhat, hogy a szervezetnek Docker Desktop-licencre van szüksége. Lásd Docker asztali követelmények további információkért. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a következőben részletezett kapcsolattal Külső csatlakozási követelmények . | ||
| 10 |
Ha a Hybrid Data Security alkalmazással proxyt integrál, győződjön meg arról, hogy az megfelel a Proxykiszolgáló követelményei . | ||
| 11 |
Ha a szervezet címtár-szinkronizálást használ, hozzon létre egy csoportot az Active Directory , amelynek neve neve
|
Hibrid adatbiztonsági telepítési feladatfolyamat
Mielőtt elkezdené
| 1 |
Töltse le az OVA-fájlt a helyi számítógépre későbbi használatra. | ||
| 2 |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájl a Hybrid Data Security csomópontokhoz. | ||
| 3 |
Telepítse a HDS Host OVA alkalmazást Hozzon létre egy virtuális gép az OVA-fájlból, és végezze el a kezdeti konfigurációt, például a hálózati beállítások.
| ||
| 4 |
Állítsa be a Hybrid Data Security VM Jelentkezzen be a VM -konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Adja meg a csomópont hálózati beállítások , ha nem konfigurálta őket az OVA üzembe helyezésekor. | ||
| 5 |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t Konfigurálja a VM gépet a HDS telepítőeszközzel létrehozott ISO konfigurációs fájl . | ||
| 6 |
A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxytípust, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz. | ||
| 7 |
Regisztrálja az Első csomópontot a fürtben Hibrid adatbiztonsági csomópontként regisztrálja a VM gépet a Cisco Webex felhőben. | ||
| 8 |
További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását. | ||
| 9 |
Futtasson le egy próbaidőszakot, és térjen át éles verzióra (következő fejezet) A próbaidőszak megkezdéséig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
Telepítési fájlok letöltése
| 1 |
Jelentkezzen be ide:https://admin.webex.com , majd kattintson a lehetőségre Szolgáltatások lehetőségre . | ||||
| 2 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, majd kattintson a gombra Beállítás . Ha a kártya le van tiltva, vagy nem látja, forduljon a fiókot kezelő csapathoz vagy a partnerszervezethez. Adja meg nekik a fiókszámát, és kérje, hogy engedélyezze a szervezete számára a hibrid adatbiztonságot. A fiókszám megkereséséhez kattintson a fogaskerékre a jobb felső sarokban, a szervezet neve mellett.
| ||||
| 3 |
Válassza ki Nem hogy jelezze, hogy még nem állította be a csomópontot, majd kattintson a gombra Következő . Az OVA-fájl letöltése automatikusan megkezdődik. Mentse a fájlt a számítógép egy megfelelő helyre.
| ||||
| 4 |
Opcionálisan kattintson a gombra Nyissa meg a Üzembehelyezési útmutató ellenőrizni, hogy elérhető-e az útmutató újabb verziója. |
Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára
A Hybrid Data Security beállítási folyamata létrehoz egy ISO -fájlt. Ezután az ISO segítségével konfigurálja a Hybrid Data Security gazdagépét.
Mielőtt elkezdené
-
A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a lépésben a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. 5 . Ez a táblázat néhány lehetséges környezeti változót tartalmaz:
Leírás
Változó
Http-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORTHttp-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORTHTTPS-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT -
Az Ön által létrehozott konfigurációs ISO -fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító mesterkulcsot. Bármikor szüksége van a fájl legfrissebb példányára, amikor konfigurációs módosításokat hajt végre, például:
-
Adatbázis hitelesítő adatok
-
Tanúsítványfrissítések
-
Az engedélyezési házirend változásai
-
-
Ha az adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy SQL Server-telepítést TLS-hez.
| 1 |
A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: FedRAMP környezetben:
| ||||||||||||
| 2 |
A Docker-képtárba való bejelentkezéshez írja be a következőket: | ||||||||||||
| 3 |
A jelszókéréskor írja be ezt a hash-t: | ||||||||||||
| 4 |
Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: FedRAMP környezetben: | ||||||||||||
| 5 |
Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:
Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot." | ||||||||||||
| 6 |
Használjon webböngészőt a localhost megnyitásához, Az eszköz a felhasználónév ezen első bejegyzését használja a megfelelő környezet beállításához az adott fiókhoz. Az eszköz ezután megjeleníti a standard bejelentkezési promptot. | ||||||||||||
| 7 |
Amikor a rendszer kéri, adja meg a Control Hub-ügyfél-rendszergazda bejelentkezési hitelesítő adatait, majd kattintson a gombra Jelentkezzen be hogy engedélyezze a hozzáférést a Hibrid adatbiztonsághoz szükséges szolgáltatásokhoz. | ||||||||||||
| 8 |
A Telepítő eszköz áttekintő oldalán kattintson a gombra Első lépések . | ||||||||||||
| 9 |
A következőn: ISO importálás oldalon a következő lehetőségek állnak rendelkezésére:
| ||||||||||||
| 10 |
Ellenőrizze, hogy az X.509-tanúsítvány megfelel-e a következő követelményeinek: X.509 Tanúsítványkövetelmények .
| ||||||||||||
| 11 |
Adja meg az adatbázis-címet és a fiókot a HDS számára a kulcsadattár eléréséhez: | ||||||||||||
| 12 |
Válassza ki a TLS adatbázis-kapcsolati mód :
Amikor feltölti a gyökértanúsítvány (ha szükséges), és kattintson a gombra Folytatás , a HDS Setup Tool teszteli az adatbázis-kiszolgáló TLS -kapcsolatát. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolati különbségek miatt a HDS-csomópontok akkor is képesek lehetnek TLS -kapcsolat létrehozására, ha a HDS-beállító eszköz nem tudja sikeresen tesztelni azt.) | ||||||||||||
| 13 |
A Rendszernaplók oldalon állítsa be a Syslogd-kiszolgálót: | ||||||||||||
| 14 |
(Opcionális) Módosíthatja egyes adatbázis-kapcsolati paraméterek alapértelmezett érték : Speciális beállítások elemre . Általában csak ezt a paramétert szeretné módosítani: | ||||||||||||
| 15 |
Kattintson Folytatás a Szolgáltatásfiókok jelszavának alaphelyzetbe állítása képernyőt. A szolgáltatási fiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavai hamarosan lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO -fájlok érvénytelenítése érdekében. | ||||||||||||
| 16 |
Kattintson Töltse ISO fájlt . Mentse a fájlt egy könnyen megtalálható helyre. | ||||||||||||
| 17 |
Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||||||||||||
| 18 |
A Telepítő eszköz leállításához írja be a következőt: |
Mi a következő teendő
Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz vagy a konfiguráció módosításához. Ha elveszíti az ISO -fájl összes példányát, akkor elvesztette a mesterkulcsot is. A kulcsok visszaállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.
| Soha nem rendelkezünk ennek a kulcsnak a másolatával, és nem segíthetünk, ha elveszíti. |
Telepítse a HDS Host OVA alkalmazást
| 1 |
A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre. | ||||||
| 2 |
Válassza ki Fájl lehetőségre > OVF-sablon telepítése . | ||||||
| 3 |
A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a gombra Következő . | ||||||
| 4 |
A következőn: Válasszon ki egy nevet és mappát oldalon adja meg a Virtuális gép neve a csomópont számára (például: „HDS_ Node_ 1"), válasszon ki egy helyet, ahol a virtuális gép -csomópont-telepítés található, majd kattintson a gombra Következő . | ||||||
| 5 |
A következőn: Válasszon ki egy számítási erőforrást oldalt, válassza ki a cél számítási erőforrást, majd kattintson a gombra Következő . Lefut az érvényesítési ellenőrzés. Miután végzett, megjelennek a sablon részletei. | ||||||
| 6 |
Ellenőrizze a sablon részleteit, majd kattintson Következő . | ||||||
| 7 |
Ha a rendszer arra kéri, hogy válassza ki az erőforrás-konfigurációt a Konfiguráció oldalt, kattintson 4 CPU majd kattintson a lehetőségre Következő . | ||||||
| 8 |
A következőn: Tárhely kiválasztása oldalt, kattintson Következő hogy elfogadja az alapértelmezett lemezformátumot és a VM tárolási házirendjét. | ||||||
| 9 |
A következőn: Válasszon hálózatokat oldalon válassza ki a hálózati beállítást a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM. | ||||||
| 10 |
A következőn: Sablon testreszabása oldalon konfigurálja a következő hálózati beállítások:
Ha szükséges, kihagyhatja a hálózati beállítások konfigurációját, és követheti a következő lépéseket Állítsa be a Hybrid Data Security VM a beállítások konfigurálásához a csomóponti konzolról.
| ||||||
| 11 |
Kattintson a jobb gombbal a VM csomópontra, majd válassza a lehetőséget . A Hybrid Data Security szoftver vendégként van telepítve a VM -gazdagépen. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perc késéssel jelennek meg a csomópont-tárolók. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely alatt nem tud bejelentkezni. |
Állítsa be a Hybrid Data Security VM
Ezzel az eljárással először jelentkezhet be a Hybrid Data Security node VM -konzolba, és állítsa be a bejelentkezési hitelesítési adatokat. A konzol segítségével is konfigurálhatja a csomópont hálózati beállítások , ha nem konfigurálta azokat az OVA üzembe helyezésekor.
| 1 |
A VMware vSphere ügyfélben válassza ki a Hybrid Data Security csomópont VM , és válassza ki a Konzol lehetőségre fülre. A VM gép elindul, és egy bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg a gombot Belépés .
|
| 2 |
Használja a következő alapértelmezett bejelentkezési nevet és jelszót a bejelentkezéshez és a hitelesítési adatok módosításához: Mivel először jelentkezik be a VM , meg kell változtatnia a rendszergazdai jelszót. |
| 3 |
Ha már konfigurálta a hálózati beállítások a következőben: Telepítse a HDS Host OVA alkalmazást , hagyja ki az eljárás többi részét. Ellenkező esetben a főmenü válassza a lehetőséget Konfiguráció szerkesztése opciót. |
| 4 |
Állítson be statikus konfigurációt IP-cím, maszk-, átjáró- és DNS -információkkal. A csomópontnak rendelkeznie kell belső IP-cím és DNS -névvel. A DHCP nem támogatott. |
| 5 |
(Opcionális) Módosítsa a gazdagépnevet, a tartományt vagy az NTP kiszolgáló(ka)t, ha szükséges, hogy megfeleljen a hálózati házirendnek. Nem kell úgy beállítania a tartományt, hogy egyezzen azzal a tartománynal, amelyet az X.509 tanúsítvány beszerzéséhez használt. |
| 6 |
Mentse a hálózati beállítások , és indítsa újra a VM gépet, hogy a módosítások érvénybe lépjenek. |
Töltse fel és szerelje fel a HDS konfigurációs ISO -t
Mielőtt elkezdené
Mivel az ISO -fájl tartalmazza a főkulcsot, azt csak „tudnivalók” alapon szabad nyilvánosságra hozni, hogy hozzáférhessenek a Hybrid Data Security virtuális gépek és minden olyan rendszergazda, akinek esetleg módosításra van szüksége. Győződjön meg arról, hogy csak azok a rendszergazdák férhetnek hozzá az adattárhoz.
| 1 |
Töltse fel az ISO fájlt a számítógépéről: |
| 2 |
Az ISO fájl csatolása: |
Mi a következő teendő
Ha az informatikai házirend megköveteli, opcionálisan leválaszthatja az ISO -fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. Lásd (Opcionális) Az ISO leválasztása a HDS-konfiguráció után a részletekért.
A HDS-csomópont konfigurálása proxyintegrációhoz
Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.
| 1 |
Adja meg a HDS-csomópont beállítási |
| 2 |
Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:
Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit. |
| 3 |
Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt. |
| 4 |
Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont Blokkolt külső DNS -felbontás módban fog működni. Ha úgy gondolja, hogy ez hibás, hajtsa végre az alábbi lépéseket, majd tekintse meg Kapcsolja ki a Blokkolt külső DNS -feloldási módot . |
| 5 |
A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez. |
| 6 |
Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul. |
| 7 |
A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn. |
Regisztrálja az Első csomópontot a fürtben
Az első csomópont regisztrálásakor létrejön egy fürt, amelyhez a csomópont hozzá van rendelve. Egy fürt egy vagy több redundancia biztosítása érdekében telepített csomópontot tartalmaz.
Mielőtt elkezdené
-
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
-
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 |
Jelentkezzen be ide: https://admin.webex.com. |
| 2 |
A képernyő bal oldalán található menüből válassza a lehetőséget Szolgáltatások lehetőségre . |
| 3 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítás . Megjelenik a Hibrid adatbiztonsági csomópont regisztrálása oldal.
|
| 4 |
Válassza ki Igen hogy jelezze, hogy beállította a csomópontot, és készen áll a regisztrálására, majd kattintson a gombra Következő . |
| 5 |
Az első mezőben adjon meg egy nevet annak a fürtnek, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontját. Javasoljuk, hogy a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezzen el egy fürtöt. Példák: „San Francisco” vagy „New York” vagy „Dallas” |
| 6 |
A második mezőben adja meg a csomópont belső IP-cím vagy teljesen minősített tartománynév (FQDN), majd kattintson a Következő . Ennek az IP-cím vagy teljes tartománynévnek meg kell egyeznie azzal az IP-cím vagy gazdagépnévvel és tartománynal, amelyet használt Állítsa be a Hybrid Data Security VM . Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontot a Webex.
|
| 7 |
Kattintson Lépjen a Node-ra . |
| 8 |
Kattintson Folytatás a figyelmeztető üzenet. Néhány pillanat múlva a rendszer átirányítja a Webex -szolgáltatások csomóponti kapcsolati tesztjéhez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Itt megerősíti, hogy engedélyt szeretne adni a Webex -szervezetnek a csomópont eléréséhez.
|
| 9 |
Ellenőrizze a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson Folytatás . Fiókja ellenőrzése megtörtént, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe.
|
| 10 |
Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Control Hub hibrid adatbiztonsági oldalára. A következőn: Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
|
További csomópontok létrehozása és regisztrálása
| Jelenleg az Ön által létrehozott biztonsági mentési virtuális gépek Töltse ki a hibrid adatbiztonság előfeltételeit készenléti állomások, amelyek csak vész- katasztrófa utáni helyreállítás esetén használatosak; addig nincsenek regisztrálva a rendszerben. A részletekért lásd: Katasztrófa utáni helyreállítás készenléti adatközpont segítségével . |
Mielőtt elkezdené
-
Miután megkezdte a csomópont regisztrációját, 60 percen belül be kell fejeznie, vagy elölről kell kezdenie.
-
Győződjön meg arról, hogy az előugró ablakok blokkolása le van tiltva a böngészőjében, vagy engedélyezi a kivételt az admin.webex.com számára.
| 1 |
Hozzon létre egy új virtuális gép az OVA-ból, ismételje meg a lépéseket Telepítse a HDS Host OVA alkalmazást . |
| 2 |
Állítsa be a kezdeti konfigurációt az új VM, ismételje meg a lépéseket Állítsa be a Hybrid Data Security VM . |
| 3 |
Az új VM ismételje meg a lépéseket Töltse fel és szerelje fel a HDS konfigurációs ISO-t . |
| 4 |
Ha proxyt állít be a központi telepítéshez, ismételje meg a következő lépéseket: Konfigurálja a HDS-csomópontot a proxyintegrációhoz ahogy az új csomóponthoz szükséges. |
| 5 |
Regisztrálja a csomópontot. A csomópont regisztrálva van. Ne feledje, hogy a próbaidőszak elindításáig a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva.
|
Mi a következő teendő
A próbaidőszakból a gyártási feladatfolyamat
Miután beállított egy Hybrid Data Security fürtöt, elindíthat egy próbaverziót, felhasználókat adhat hozzá, és elkezdheti használni a teszteléshez és a telepítés ellenőrzéséhez az éles rendszerre való átállás előkészítéseként.
Mielőtt elkezdené
| 1 |
Adott esetben szinkronizálja a Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a |
| 2 |
Indítson el egy próbaidőszakot. Amíg ezt a feladatot el nem végzi, a csomópontok riasztást generálnak, jelezve, hogy a szolgáltatás még nincs aktiválva. |
| 3 |
Tesztelje hibrid adatbiztonsági telepítését Ellenőrizze, hogy a kulcskérelmek továbbításra kerülnek-e a Hybrid Data Security telepítéséhez. |
| 4 |
A Hybrid Data Security állapotának figyelése Ellenőrizze az állapotot, és állítson be e-mail-értesítéseket a riasztásokhoz. |
| 5 | |
| 6 |
Fejezze be a próbaidőszakot a következő műveletek egyikével: |
Próbaidőszak aktiválása
Mielőtt elkezdené
Ha a szervezete címtár-szinkronizálást használ a felhasználók számára, ki kell választania a HdsTrialGroup csoportobjektumot szinkronizálja a felhővel, mielőtt próbaidőszakot kezdene a szervezet számára. Az utasításokat lásd a Üzembehelyezési útmutató a Cisco Directory Connector alkalmazáshoz.
| 1 |
Jelentkezzen be ide:https://admin.webex.com lehetőséget, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Szolgáltatás állapota részben kattintson a gombra Próbaidőszak indítása . A szolgáltatás állapota próba módra változik.
|
| 4 |
Kattintson Felhasználók hozzáadása lehetőségre és adja meg egy vagy több olyan felhasználó e- e-mail-cím , amelyet a titkosítási és indexelési szolgáltatásokhoz a Hybrid Data Security csomópontok segítségével próbálnak ki. (Ha a szervezete címtár-szinkronizálást használ, az Active Directory segítségével kezelje a próbacsoportot, |
Tesztelje hibrid adatbiztonsági telepítését
Mielőtt elkezdené
-
Állítsa be a Hybrid Data Security telepítését.
-
Aktiválja a próbaidőszakot, és adjon hozzá több próbaidőszakos felhasználót.
-
Gondoskodjon arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, így ellenőrizheti, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek.
| 1 |
Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba a próbafelhasználók egyikeként, majd hozzon létre egy szobát, és hívjon meg legalább egy kísérleti és egy nem kísérleti felhasználót.
| ||
| 2 |
Üzenetek küldése az új szobába. | ||
| 3 |
Ellenőrizze a syslog kimenetet, és győződjön meg arról, hogy a kulcskérelmek a Hybrid Data Security központi telepítésébe kerülnek. |
A Hybrid Data Security állapotának figyelése
| 1 |
Be Control Hub , válassza ki Szolgáltatások lehetőségre a képernyő bal oldalán található menüből. |
| 2 |
A Hibrid szolgáltatások részben keresse meg a Hibrid adatbiztonság lehetőséget, és kattintson a gombra Beállítások elemre . Megjelenik a Hibrid adatbiztonsági beállítások oldal.
|
| 3 |
Az E- e-mail értesítések szakaszban írjon be egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg a gombot Belépés . |
Felhasználók hozzáadása vagy eltávolítása a próbaidőszakból
Ha eltávolít egy felhasználót a próbaidőszakból, a felhasználó kliense a KMS helyett a felhő KMS-ből kér majd kulcsokat és kulcslétrehozást. Ha az ügyfélnek olyan kulcsra van szüksége, amely a KMS-en van tárolva, a felhőalapú KMS lekéri azt a felhasználó nevében.
Ha a szervezete címtár-szinkronizálást használ, használja az Active Directory -t (ennél az eljárásnál) a próbacsoport kezelésére, HdsTrialGroup ; megtekintheti a csoporttagokat a Control Hubban, de nem adhatja hozzá vagy távolíthatja el őket.
| 1 |
Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Szolgáltatás állapota területen a Próba mód részében kattintson a gombra Felhasználók hozzáadása lehetőségre , vagy kattintson a lehetőségre megtekintés és szerkesztés lehetőségre hogy távolítsa el a felhasználókat a próbaidőszakból. |
| 4 |
Adja meg egy vagy több hozzáadni kívánt felhasználó e- e-mail-cím , vagy kattintson a lehetőségre X felhasználói azonosító , hogy eltávolítsa a felhasználót a próbaidőszakból. Ezután kattintson aMentés gombra . |
Áthelyezés próbaidőszakról élesre
| 1 |
Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Szolgáltatás állapota részben kattintson a gombra Áthelyezés éles menübe . |
| 4 |
Erősítse meg, hogy az összes felhasználóját át szeretné helyezni az éles rendszerbe. |
Fejezze be a próbaidőszakot anélkül, hogy élesre váltana
| 1 |
Jelentkezzen be a Control Hubba, majd válassza a lehetőséget Szolgáltatások lehetőségre . |
| 2 |
A Hibrid adatbiztonság területen kattintson a lehetőségre Beállítások elemre . |
| 3 |
A Deaktiválás részben kattintson a gombra Inaktiválás . |
| 4 |
Erősítse meg a szolgáltatás inaktiválását, és fejezze be a próbaidőszakot. |
HDS-telepítés kezelése
Az itt ismertetett feladatok segítségével kezelheti a Hybrid Data Security telepítését.
Fürtfrissítési ütemezés beállítása
A frissítés ütemezésének beállítása:
| 1 |
Jelentkezzen be a Control Hubba. |
| 2 |
Az Áttekintés oldalon a Hibrid szolgáltatások területen válassza a lehetőséget Hibrid adatbiztonság . |
| 3 |
A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt. |
| 4 |
A jobb oldali Áttekintés panelen, a Fürtbeállítások területen válassza ki a fürt nevét. |
| 5 |
A Beállítások oldalon a Frissítés területen válassza ki a frissítési ütemezéshez szükséges időt és időzóna . Megjegyzés: Az időzóna alatt a következő elérhető frissítés dátum és idő jelenik meg. Ha szükséges, a következő napra is elhalaszthatja a frissítést, ha rákattint Elhalasztás . |
Módosítsa a csomópont-konfigurációt
-
Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.
Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
-
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.
Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
-
Új konfiguráció létrehozása új adatközpont előkészítéséhez.
Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:
-
Lágy alaphelyzetbe állítás — A régi és az új jelszó egyaránt legfeljebb 10 napig működik. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
-
Hard reset — A régi jelszavak azonnal leállnak.
Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.
Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.
Mielőtt elkezdené
-
A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.
Ha a HDS telepítő eszköz proxy mögött fut a környezetben, akkor a Docker-tároló előhívásakor adja meg a proxybeállításokat (kiszolgáló, port, hitelesítési adatok) a Docker környezeti változókon keresztül. 1.e . Ez a táblázat néhány lehetséges környezeti változót tartalmaz:
Leírás
Változó
Http-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://SZERVER_ IP:PORTHTTPS-proxy hitelesítés nélkül
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://SZERVER_ IP:PORTHttp-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTP_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORTHTTPS-proxy hitelesítéssel
GLOBÁLIS_ ÜGYNÖK_ HTTPS_ PROXY=http://FELHASZNÁLÓNÉV:PASSWORD@SZERVER_ IP:PORT -
Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.
| 1 |
A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást.
| ||||||
| 2 |
Ha csak egy HDS-csomópont fut , hozzon létre egy új Hybrid Data Security csomópont VM , és regisztrálja az új konfigurációs ISO -fájl segítségével. A részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása . | ||||||
| 3 |
A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: | ||||||
| 4 |
Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton. |
A blokkolt külső DNS-feloldási mód kikapcsolása
Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.
Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.
Mielőtt elkezdené
| 1 |
Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra. |
| 2 |
Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva. |
| 3 |
Lépjen a Megbízhatósági áruház és proxy oldalra. |
| 4 |
Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani. |
Mi a következő lépés
Csomópont eltávolítása
| 1 |
A számítógépen lévő VMware vSphere ügyfél segítségével jelentkezzen be az ESXi virtuális gazdagépre, és kapcsolja ki a virtuális gép. |
| 2 |
Csomópont eltávolítása: |
| 3 |
A vSphere ügyfélben törölje a VM. (A bal oldali navigációs ablaktáblában kattintson a jobb kattintás a VM , majd kattintson a Törlés lehetőségre .) Ha nem törli a VM, ne feledje leválasztani a konfigurációs ISO -fájlt. Az ISO -fájl nélkül nem tudja használni a VM a biztonsági adatok eléréséhez. |
Katasztrófa utáni helyreállítás készenléti adatközpont segítségével
A Hybrid Data Security fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és egyéb, a Webex felhőben tárolt tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belül a Hybrid Data Security rendszerhez hozzárendelt összes felhasználó esetében a rendszer az új kulcslétrehozási kérelmeket a fürthöz továbbítja. A fürt felelős azért is, hogy visszaküldje az általa létrehozott kulcsokat a lekérésre jogosult összes felhasználónak, például egy beszélgetési terület tagjainak.
Mivel a fürt ellátja azt a kritikus funkciót, hogy biztosítsa ezeket a kulcsokat, elengedhetetlen, hogy a fürt továbbra is fusson, és a megfelelő biztonsági mentések legyenek fenn. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO -kód elvesztése az ügyféltartalom HELYREHOZHATÓ ELVESZÉSÉT eredményezi. Az alábbi gyakorlatok kötelezőek az ilyen veszteségek megelőzése érdekében:
Ha egy katasztrófa miatt a HDS-telepítés elérhetetlenné válik az elsődleges adatközpont , kövesse az alábbi eljárást a kézi feladatátvételhez a készenléti adatközpont.
| 1 |
Indítsa el a HDS telepítő eszközt, és kövesse a következő részben említett lépéseket Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára . | ||
| 2 |
A Syslogd kiszolgáló konfigurálása után kattintson a gombra Speciális beállítások elemre | ||
| 3 |
A következőn: Speciális beállítások elemre oldalt, adja hozzá az alábbi konfigurációt, vagy távolítsa el a
| ||
| 4 |
Fejezze be a konfigurációs folyamatot, és mentse az ISO -fájlt egy könnyen megtalálható helyre. | ||
| 5 |
Készítsen biztonsági másolatot az ISO -fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy fő titkosítási kulcs tartalmaz az adatbázis tartalmához. A hozzáférést csak azokra a Hybrid Data Security rendszergazdákra korlátozza, akiknek módosítaniuk kell a konfigurációt. | ||
| 6 |
A VMware vSphere ügyfél bal oldali navigációs ablaktáblájában kattintson a jobb kattintás a VM , majd kattintson Beállítások szerkesztése lehetőségre. . | ||
| 7 |
Kattintson Beállítások szerkesztése > CD/ DVD -meghajtó 1 és válassza a Datastore ISO fájl lehetőséget.
| ||
| 8 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy nincs riasztás legalább 15 percig. | ||
| 9 |
Ismételje meg a folyamatot a készenléti adatközpont összes csomópontjánál.
|
Mi a következő teendő
(Opcionális) Az ISO leválasztása a HDS-konfiguráció után
A szabványos HDS-konfiguráció beépített ISO -val fut. Egyes ügyfelek azonban inkább nem hagyják az ISO -fájlokat folyamatosan csatlakoztatva. Az ISO -fájlt leválaszthatja, miután az összes HDS-csomópont felvette az új konfigurációt.
A konfiguráció módosításához továbbra is az ISO -fájlokat használja. Amikor új ISO -t hoz létre vagy frissít egy ISO -t a telepítőeszközön keresztül, fel kell szerelnie a frissített ISO -t az összes HDS-csomópontra. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leválaszthatja az ISO -t ezzel az eljárással.
Mielőtt elkezdené
Frissítse az összes HDS-csomópontját a 2021.01.22.4720-as vagy újabb verzióra.
| 1 |
Állítsa le az egyik HDS-csomópontot. |
| 2 |
A vCenter Server Appliance alkalmazásban válassza ki a HDS csomópontot. |
| 3 |
Válasszon és törölje a kijelölést Datastore ISO fájl . |
| 4 |
Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 20 percig nincs riasztás. |
| 5 |
Ismételje meg a műveletet minden HDS-csomópont esetében. |
Figyelmeztetések és hibaelhárítás megtekintése
A Hybrid Data Security központi telepítése nem érhető el, ha a fürt összes csomópontja nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépés kér. Ha a felhasználók nem tudják elérni az Ön Hybrid Data Security fürtjét, a következő tüneteket tapasztalják:
-
Nem hozhatók létre új tárhelyek (nem lehet új kulcsokat létrehozni)
-
Az üzenetek és a szobacímek visszafejtése sikertelen a következőnél:
-
Új felhasználók hozzáadva egy szobához (nem sikerült a kulcsok lekérése)
-
Meglévő felhasználók egy szobában, új klienssel (nem sikerült lekérni a kulcsokat)
-
-
A térben meglévő felhasználók mindaddig sikeresen fognak futni, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával
Fontos, hogy megfelelően figyelje a Hybrid Data Security fürtjét, és azonnal kezelje a riasztásokat a szolgáltatás fennakadásának elkerülése érdekében.
Riasztások
Ha probléma van a hibrid adatbiztonsági beállítással, a Control Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a beállított e- e-mail-cím. A riasztások számos gyakori forgatókönyvet fednek le.
|
Riasztás |
Művelet |
|---|---|
|
Helyi adatbázis-hozzáférés sikertelen. |
Ellenőrizze az adatbázis-hibákat vagy a helyi hálózati problémákat. |
|
Helyi adatbázis kapcsolódási hiba. |
Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók hitelesítő adatokat használta-e a csomópont-konfigurációban. |
|
Felhőszolgáltatás-hozzáférési hiba. |
Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex -kiszolgálókhoz a pontban meghatározottak szerint Külső csatlakozási követelmények . |
|
Felhőszolgáltatás-regisztráció megújítása. |
A felhőalapú szolgáltatásokhoz való regisztráció megszűnt. A regisztráció megújítása Folyamatban van. |
|
A felhőszolgáltatás regisztrációja megszűnt. |
A felhőalapú szolgáltatásokra való regisztráció megszűnt. A szolgáltatás leáll. |
|
A szolgáltatás még nincs aktiválva. |
Aktiváljon egy próbaverziót, vagy fejezze be a próbaverzió éles verzióba való áthelyezését. |
|
A beállított tartomány nem egyezik a kiszolgálótanúsítvány. |
Győződjön meg arról, hogy a kiszolgálótanúsítvány megfelel a konfigurált szolgáltatásaktiválási tartománynak. A legvalószínűbb ok az, hogy a tanúsítvány CN nemrég módosult, és most különbözik a kezdeti telepítés során használt CN-től. |
|
Nem sikerült a hitelesítés a felhőalapú szolgáltatásokhoz. |
Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát. |
|
Nem sikerült megnyitni a helyi kulcstároló fájlt. |
Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstároló fájlban. |
|
A helyi kiszolgálótanúsítvány érvénytelen. |
Ellenőrizze a kiszolgálótanúsítvány lejárati dátum , és győződjön meg arról, hogy egy megbízható Certificate Authority adta ki. |
|
Nem lehet mérőszámokat közzétenni. |
Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést. |
|
A /media/configdrive/hds könyvtár nem létezik. |
Ellenőrizze az ISO -beillesztési konfigurációt a virtuális gazdagépen. Ellenőrizze, hogy létezik-e az ISO -fájl, hogy az újraindításkor felcsatolásra van konfigurálva, és hogy a csatlakoztatás sikeres volt-e. |
Hibrid adatbiztonsági hibaelhárítás
| 1 |
Tekintse át a Control Hubot, hogy vannak-e riasztások, és javítsa ki az ott talált elemeket. |
| 2 |
Tekintse át a syslog kiszolgáló kimenetét a Hybrid Data Security telepítésből származó tevékenységekre. |
| 3 |
Kapcsolat lehetőségre Cisco-támogatás . |
A hibrid adatbiztonsággal kapcsolatos ismert problémák
-
Ha leállítja a Hybrid Data Security fürtöt (a Control Hubban vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO -fájlját, vagy elveszíti a hozzáférését a kulcstároló adatbázishoz, akkor a Webex alkalmazás felhasználói a továbbiakban nem használhatják a Személyek alatti tárhelyeket. listát, amelyet a KMS-ből származó kulcsokkal hoztak létre. Ez mind a próba-, mind az éles telepítésekre vonatkozik. Jelenleg nincs megkerülő megoldásunk vagy javításunk erre a problémára, ezért kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok már aktív felhasználói fiókokat kezelnek.
-
A KMS-hez már meglévő ECDH-kapcsolattal rendelkező ügyfél egy ideig (valószínűleg egy óráig) fenntartja a kapcsolatot. Amikor egy felhasználó egy hibrid adatbiztonsági próbaverzió tagjává válik, a felhasználó ügyfele továbbra is a meglévő ECDH-kapcsolatot fogja használni, amíg le nem jár az idő. Alternatív megoldásként a felhasználó ki-, majd bejelentkezhet a Webex App alkalmazásba, hogy frissítse az alkalmazás által a titkosítási kulcsokért felkeresett helyet.
Ugyanez a viselkedés akkor fordul elő, amikor egy próbaverziót éles verzióba helyez át a szervezet számára. Minden, a korábbi adatbiztonsági szolgáltatáshoz ECDH-kapcsolattal rendelkező, nem próbaidőszakos felhasználó továbbra is használni fogja ezeket a szolgáltatásokat az ECDH-kapcsolat újratárgyalásáig (időtúllépésen keresztül vagy ki- és újbóli bejelentkezéssel).
Az OpenSSL használata PKCS12-fájl létrehozásához
Mielőtt elkezdené
-
Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl a HDS telepítőeszközben történő betöltéséhez megfelelő formátumba tehető. Ennek más módjai is vannak, de mi nem támogatjuk vagy népszerűsítjük az egyik utat a másikkal szemben.
-
Ha az OpenSSL használata mellett dönt, akkor ez az eljárás iránymutatásként szolgál, hogy segítsen létrehozni egy olyan fájlt, amely megfelel a következő X.509 tanúsítvány követelményeinek: X.509 Tanúsítványkövetelmények . Mielőtt folytatná, ismerje meg ezeket a követelményeket.
-
Telepítse az OpenSSL-t támogatott környezetben. Lásdhttps://www.openssl.org a szoftverhez és a dokumentációhoz.
-
Hozzon létre egy privát kulcsot.
-
Kezdje el ezt az eljárást, amikor megkapja a kiszolgálótanúsítvány a Certificate Authority -szolgáltatótól (CA).
| 1 |
Amikor megkapja a kiszolgálótanúsítvány a CA-tól, mentse el másként |
| 2 |
Jelenítse meg a tanúsítványt szövegként, és ellenőrizze a részleteket.
|
| 3 |
Szövegszerkesztővel hozzon létre egy tanúsítványköteg fájlt
|
| 4 |
Hozzon létre egy .p12 fájlt a barátságos névvel
|
| 5 |
Ellenőrizze a kiszolgálótanúsítvány részleteit. |
Mi a következő teendő
Vissza ide: Töltse ki a hibrid adatbiztonság előfeltételeit . Ön fogja használni a hdsnode.p12 fájlba, és a hozzá beállított jelszót Hozzon létre egy konfigurációs ISO -t a HDS Hosts számára .
| Ezeket a fájlokat újra felhasználhatja új tanúsítvány kérésére, amikor az eredeti tanúsítvány lejár. |
Forgalom a HDS-csomópontok és a felhő között
Kimenő mérőszámgyűjtési forgalom
A Hybrid Data Security csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ide tartoznak a kupacmaximális, a használt kupac, a CPU -terhelés és a szálak számának rendszermérői; mérőszámok szinkron és aszinkron szálakon; a titkosítási kapcsolatok küszöbértékével, a várakozási idővel vagy a kérési sor hosszával kapcsolatos riasztásokra vonatkozó mérőszámok; mérőszámok az adattáron; és titkosítási kapcsolati mérőszámok. A csomópontok titkosított kulcsanyagot küldenek egy sávon kívüli (a kérelemtől független) csatornán keresztül.
Bejövő forgalom
A Hybrid Data Security csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:
-
Az ügyfelektől érkező titkosítási kérések, amelyeket a titkosítási szolgáltatás továbbít
-
A csomóponti szoftver frissítése
Squid-proxyk konfigurálása hibrid adatbiztonsághoz
A Websocket nem tud tintahal-proxyn keresztül csatlakozni
A HTTPS-forgalmat vizsgáló Squid-proxyk megzavarhatják a websocket ( wss: ) kapcsolatokat, amelyekre a Hybrid Data Security szükséges. Ezek a szakaszok útmutatást adnak a Squid különböző verzióinak mellőzésére történő konfigurálásához wss: a szolgáltatások megfelelő működéséhez.
Tintahal 4 és 5
Adja hozzá aon_unsupported_protocol utasítást squid.conf :
on_unsupported_protocol alagút mindenTintahal 3.5.27
Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.
acl wssMercuryConnection ssl::server_name_regex higany-kapcsolatssl_bump wssMercuryConnection acl illesztése 1. lépésat_step SslBump1 acl 2. lépésat_step SslBump2 acl 3. lépésat_step SslBump3ssl_bump peek 1. lépés mindenssl_bump stare step2 allssl_bump bump step3 all
