- ホーム
- /
- 投稿記事
新規および変更された情報
日付 | 変更履歴 | ||
---|---|---|---|
2023年10月20日。 |
| ||
2023年8月7日。 |
| ||
2023年5月23日。 |
| ||
2022 年 12 月 06 日 |
| ||
2022年11月23日。 |
| ||
2021 年 10 月 13 日 | HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。 | ||
2017 年 6 月 24 日 | 秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。 | ||
2021 年 4 月 30 日 | ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。 | ||
2021 年 2 月 24 日 | HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。 | ||
2021 年 2 月 2 日 | HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。 | ||
2021年1月11日。 | HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。 | ||
2020/10/13 | インストールファイルのダウンロードを更新しました。 | ||
2020/10/08 | 更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。 | ||
2020 年 8 月 14 日 | サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。 | ||
2020年8月5日水曜日 | ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。 ホストの最大数を削除する仮想ホスト要件を更新しました。 | ||
2020 年 6 月 16 日 | Control Hub UI の変更に関するノードの削除を更新しました。 | ||
2020 年 6 月 4 日 | 設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。 | ||
2020 年 5 月 29 日 | SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。 | ||
2020 年 5 月 5 日 | ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。 | ||
2020 年 4 月 21 日 | 新しい Americas CI ホストとの外部接続要件が更新されました。 | ||
2020 年 4 月 1 日 | 地域 CI ホストに関する情報で外部接続要件が更新されました。 | ||
2020年2月20日水曜日 | HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。 | ||
2020年2月4日。 | プロキシサーバーの要件を更新しました。 | ||
2019年12月16日 | ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。 | ||
2019 年 11 月 19 日 | 次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。 | ||
2019 年 11 月 8 日 | OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。 以下のセクションを適宜更新しました。
| ||
2019年9月6日水曜日 | データベースサーバーの要件にSQL Server Standardを追加しました。 | ||
2019 年 8 月 29 日 | 適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。 | ||
2019 年 8 月 20 日 | Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。 既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。 | ||
2019年6月13日。 | トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。 | ||
2019年3月6日(火) |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日。 |
| ||
2018年10月19日水曜日 |
| ||
2018 年 7 月 31 日 |
| ||
2018/05/21 | Cisco Spark のリブランディングを反映する用語の変更:
| ||
2018年4月11日。 |
| ||
2018年2月22日水曜日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日。 |
| ||
2017年8月18日。 | 初公開。 |
ハイブリッド データ セキュリティの概要
初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
セキュリティRealmアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。
ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。
この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。
クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。
ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。
他の組織との連携
組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。
組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。
ハイブリッド データ セキュリティの展開への期待
ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
Cisco Webex Teams プランで サポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。
データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。
HDS 導入後にキーをクラウドに戻すメカニズムはありません。 |
高レベルのセットアッププロセス
このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。
インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)
クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)
クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。
ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。
組織ごとに 1 つのクラスタのみをサポートします。
ハイブリッド データ セキュリティ トライアル モード
ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。
トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。
導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。
災害復旧のためのスタンバイデータセンター
展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。
アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。 |
災害復旧のためのスタンバイデータセンターを設定
スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。
始める前に
スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。
| ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
設定後 passiveMode
ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode
設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode
設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。
プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。
認証タイプ-次の認証タイプから選択します。
なし—追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。
外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
ハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
ハイブリッド データ セキュリティを展開するには:
Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 | の詳細 |
---|---|
| デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。 |
| CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。 この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。 |
| KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。 |
| OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。
仮想ホストの要件
クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。
以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量
データベースサーバーの要件
キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。 |
データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) | ||
---|---|---|---|
|
| ||
最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) | 最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) |
HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) |
---|---|
Postgres JDBCドライバ 42.2.5 | SQL Server JDBC ドライバ 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。
HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続の要件
HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。
アプリケーション | プロトコル | ポート | アプリからの方向 | 移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード | TCP | 443 | アウトバウンド HTTPS および WSS |
|
HDS 設定ツール | TCP | 443 | アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。 |
Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。
地域 | 共通 ID ホスト URL |
---|---|
Americas (北米、中南米エリア) |
|
欧州連合 |
|
カナダ |
|
プロキシ サーバーの要件
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
透過的プロキシ—Cisco Web Security Appliance (WSA)。
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
HTTP または HTTPS による認証がありません
HTTP または HTTPS による基本認証
HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して
wbx2.com
およびciscospark.com
問題を解決します。
ハイブリッド データ セキュリティの前提条件を完了する
1 | Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。 | ||
2 | HDS 展開のドメイン名を選択します (たとえば、 | ||
3 | クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。 | ||
4 | データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。 | ||
5 | 迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。 | ||
6 | syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。 | ||
7 | ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。
Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 | ||
8 | ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。 | ||
9 | サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。 HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。 | ||
10 | プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。 | ||
11 | 組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。
|
ハイブリッド データ セキュリティ展開タスク フロー
始める前に
1 |
後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 | ||
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。 | ||
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。
| ||
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。 | ||
5 |
HDS セットアップ ツールを使用して作成した ISO 設定ファイルから VM を設定します。 | ||
6 |
ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 | ||
7 |
ハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに仮想マシンを登録します。 | ||
8 |
クラスタの設定を完了します。 | ||
9 | トライアルを実行して本番環境に移動 (次の章) トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。 |
インストールファイルのダウンロード
1 | https://admin.webex.comにサインインし、「サービス」をクリックします。 | ||||
2 | [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。 アカウント番号を入力し、組織でハイブリッド データ セキュリティを有効にするように依頼します。 アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。
| ||||
3 | ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。 OVAファイルは自動的にダウンロードを開始します。 ファイルをマシン上の場所に保存します。
| ||||
4 | 必要に応じて、[導入ガイドを開く]をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。 |
HDS ホストの設定 ISO を作成する
ハイブリッド データ セキュリティのセットアップ プロセスは、ISO ファイルを作成します。 その後、ISO を使用してハイブリッド データ セキュリティ ホストを設定します。
始める前に
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。 次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
データベースの資格情報
証明書の更新
承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。
1 | マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境:
FedRAMP 環境の場合:
| ||||||||||||
2 | Docker 画像レジストリにサインインするには、以下を入力します。
| ||||||||||||
3 | パスワードのプロンプトに対して、このハッシュを入力します。
| ||||||||||||
4 | お使い環境に合った最新の安定した画像をダウンロードします。 一般環境:
FedRAMP 環境の場合:
| ||||||||||||
5 | プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||||
6 |
Web ブラウザを使用して localhost に移動し、 このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。 このツールには、標準のサインインプロンプトが表示されます。 | ||||||||||||
7 | プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||||
8 | [セットアップツールの概要] ページで、[はじめに] をクリックします。 | ||||||||||||
9 | [ISOインポート]ページには、次のオプションがあります。
| ||||||||||||
10 | X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||||
11 | HDS のデータベース アドレスとアカウントを入力して、キー データストアにアクセスします。 | ||||||||||||
12 | TLS データベース接続モードを選択します。
ルート証明書をアップロードし(必要に応じて)、[続行]をクリックすると、HDS Setup Tool がデータベース サーバへの TLS 接続をテストします。 また、必要に応じて、証明書の署名者とホスト名も検証されます。 テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。 エラーを無視してセットアップを続行するかどうかを選択できます。 (接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります)。 | ||||||||||||
13 | [システムログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||||
14 | (オプション)一部のデータベース接続パラメータのデフォルト値は、[詳細設定]で変更できます。 通常、このパラメータは、変更する可能性のある唯一のパラメータです。
| ||||||||||||
15 | [サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。 サービスアカウントのパスワードは9ヶ月の寿命を持っています。 パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。 | ||||||||||||
16 | [ISOファイルのダウンロード] をクリックします。 見つけやすい場所にファイルを保存します。 | ||||||||||||
17 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||||||||||||
18 | セットアップ ツールをシャットダウンするために次のように入力します。 |
次に行うこと
設定 ISO ファイルをバックアップします。 リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。
私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。 |
HDS ホスト OVA のインストール
1 | コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。 | ||||||
2 | ファイル > OVF テンプレートを展開を選択します。 | ||||||
3 | ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。 次へだ | ||||||
4 | の 名前とフォルダを選択ページ、を入力します 仮想マシン名ノード(たとえば、「HDS_Node_1」)で、仮想マシンノードの展開が可能な場所を選択し、次へだ | ||||||
5 | の 計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。 次へだ 検証チェックが実行されます。 完了すると、テンプレートの詳細が表示されます。 | ||||||
6 | テンプレートの詳細を確認し、[次へ]をクリックします。 | ||||||
7 | のリソース設定を選択するよう求められた場合 設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。 次へだ | ||||||
8 | の ストレージを選択ページ、をクリックします。 次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。 | ||||||
9 | の ネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。 | ||||||
10 | [テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッド データ セキュリティ VM のセットアップ] の手順に従って、ノード コンソールから設定を構成できます。
| ||||||
11 | ノードVMを右クリックし、 だ。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。 これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。 初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
この手順を使用して、ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 | VMware vSphere クライアントで、ハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。 ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 | 次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。 |
3 | [HDS ホスト OVA のインストール]でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。 それ以外の場合は、メインメニューで[設定の編集]オプションを選択します。 |
4 | IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。 ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。 |
5 | (オプション) ネットワーク ポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。 |
6 | ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。 |
HDS 設定 ISO のアップロードとマウント
始める前に
ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。 これらの管理者だけがデータストアにアクセスできることを確認してください。
1 | コンピュータから ISO ファイルをアップロードします。 |
2 | ISO ファイルをマウントします。 |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。 透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。 インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
始める前に
サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
1 | HDS ノードのセットアップ URL を入力 |
2 | [信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 | [ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。 証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 | [プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。 この状況は、多くの明示的なプロキシ構成で想定されています。 セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。 これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 | 接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。 この設定を有効にするには 15 秒かかります。 |
6 | [すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 | ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。 接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録する
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。 クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。
始める前に
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。
1 | https://admin.webex.comにサインインします。 |
2 | スクリーンの左側にあるメニューからサービスを選択します。 |
3 | [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッド データ セキュリティ ノードの登録] ページが表示されます。
|
4 | ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。 |
5 | 最初のフィールドに、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。 例: 「サンフランシスコ」「ニューヨーク」「ダラス」 |
6 | 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。 この IP アドレスまたは FQDN は、ハイブリッド データ セキュリティ VM のセットアップ で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 | [ノードに進む] をクリックします。 |
8 | 警告メッセージの [続ける] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
|
9 | [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
|
10 | リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。 ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。
|
より多くのノードを作成して登録する
現時点では、「ハイブリッド データ セキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタ リカバリーの場合にのみ使用されるスタンバイ ホストであり、それまではシステムに登録されていません。 詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。 |
始める前に
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。
1 | OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。 |
2 | 新しい仮想マシンで初期設定を行い、「ハイブリッド データ セキュリティ 仮想マシンのセットアップ」の手順を繰り返します。 |
3 | 新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。 |
4 | 展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。 |
5 | ノードを登録します。 ノードが登録されています。 トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
|
次に行うこと
プロダクション タスク フローへの試行
ハイブリッド データ セキュリティ クラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。
1 | 必要に応じて、 組織でユーザーのディレクトリ同期を使用している場合は、 |
2 |
トライアルを開始します。 このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。 |
3 |
重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
4 |
ステータスを確認し、アラームのメール通知を設定します。 |
5 | |
6 | 以下のいずれかの操作を行い、治験の段階を完了します。 |
トライアルの有効化
始める前に
組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup
組織のトライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。
1 | https://admin.webex.comにサインインし、「サービス」を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] セクションで、[トライアルの開始] をクリックします。 サービス ステータスがトライアル モードに変わります。
|
4 | [ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッド データ セキュリティ ノードを使用してパイロットする 1 人以上のユーザーのメール アドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアル グループを管理します。 |
ハイブリッド データ セキュリティ展開をテストする
始める前に
ハイブリッド データ セキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアル ユーザーを追加します。
キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。
1 | 特定のスペースのキーは、スペースの作成者によって設定されます。 パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。
| ||
2 | 新しいスペースにメッセージを送信します。 | ||
3 | syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの健全性を監視する
1 | Control Hubで、画面左側のメニューからサービスを選択します。 |
2 | [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッド データ セキュリティ設定] ページが表示されます。
|
3 | [メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。 |
トライアルからユーザーを追加または削除する
トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。 クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。
組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアル グループを管理します。 HdsTrialGroup
; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] 領域の [トライアルモード(Trial Mode)] セクションで、[ユーザーの追加(Add Users)] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。 |
4 | 追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。 その後、[保存] をクリックします。 |
トライアルからプロダクションへの移行
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] セクションで、[本番環境に移動] をクリックします。 |
4 | すべてのユーザーを本番環境に移行することを確認します。 |
本番環境に移行せずにトライアルを終了する
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | 「Deactivate(無効化)」セクションで「Deactivate(無効化)」をクリックします。 |
4 | サービスを無効にしてトライアルを終了することを確認します。 |
HDS 展開の管理
ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスタアップグレードスケジュールの設定
アップグレードスケジュールを設定するには:
1 | Control Hub にサインインします。 |
2 | [概要] ページの [ハイブリッド サービス] で、[ハイブリッド データ セキュリティ] を選択します。 |
3 | [ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
4 | 右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。 |
5 | 設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。 メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。 必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。 |
ノードの設定を変更する
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。 ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。 データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。 HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。 組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
ソフト リセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。 この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハード リセット—古いパスワードは即時に機能を停止します。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。 データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 | ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 | を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。 手順の詳細については、「追加のノードを作成して登録する」を参照してください。 |
3 | 古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。 各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 | ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
始める前に
1 | Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。 |
2 | [概要] (デフォルトページ) に移動します。 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 | [信頼ストアとプロキシ] ページに移動します。 |
4 | [プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。 そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 | コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。 |
2 | ノードを削除します。 |
3 | vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。 仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用したディザスタ リカバリ
ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。 ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。 また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。
クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。 ハイブリッド データ セキュリティ データベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。 このような損失を防ぐには、以下の慣行が必須です。
災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。 | ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加するか、
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
(オプション)HDS設定後にISOをアンマウントする
標準の HDS 構成は、ISO マウントで実行されます。 しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。 すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。
ISO ファイルを使用して、設定を変更します。 新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。 すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。
始める前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 | 1 つの HDS ノードをシャットダウンします。 |
2 | vCenter Server Appliance で、HDS ノードを選択します。 |
3 | データストアISOファイル]のチェックを外します。 を選択し、[ |
4 | HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。 |
5 | HDS ノードごとに順番に繰り返します。 |
アラートとトラブルシューティングの表示
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。 ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状が発生します。
新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペース タイトルの復号に失敗する:
新規ユーザーがスペースに追加されました (キーを取得できません)
新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。
ハイブリッド データ セキュリティ クラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメール アドレスにメールを送信します。 アラートは、多くの一般的なシナリオをカバーしています。
警告 | アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベース エラーまたはローカル ネットワークの問題を確認します。 |
ローカルデータベース接続に失敗しました。 |
データベース サーバが使用可能であり、ノード設定で適切なサービス アカウント クレデンシャルが使用されていることを確認します。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウドサービス登録の更新。 |
クラウドサービスへの登録が削除されました。 登録の更新が進行中です。 |
クラウドサービスの登録が削除されました。 |
クラウドサービスへの登録が終了しました。 サービスが停止しています。 |
サービスはまだアクティベートされていません。 |
トライアルを有効にするか、トライアルを本番環境に移行します。 |
設定されたドメインがサーバー証明書と一致しません。 |
サーバー証明書が設定されたサービス アクティベーション ドメインと一致していることを確認します。 最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。 |
クラウド サービスの認証に失敗しました。 |
サービスアカウントの資格情報の正確さと有効期限の可否を確認します。 |
ローカル キーストア ファイルを開くことができませんでした。 |
ローカル キーストア ファイルの整合性とパスワードの正確性を確認します。 |
ローカルサーバー証明書が無効です。 |
サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスを確認します。 |
/media/configdrive/hds ディレクトリが存在しません。 |
仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 | アラートについては Control Hub を確認し、見つかった項目を修正します。 |
2 | ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。 |
3 | Cisco サポート にお問い合わせください。 |
ハイブリッド データ セキュリティの既知の問題
ハイブリッド データ セキュリティ クラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストア データベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。 これは、トライアル展開と本番展開の両方に適用されます。 現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。 ユーザーがハイブリッド データ セキュリティ トライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。 代わりに、ユーザーは Webex アプリ アプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。
同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。 以前のデータ セキュリティ サービスへの既存の ECDH 接続を持つすべての非トライアル ユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。
OpenSSL を使用して PKCS12 ファイルを生成する
始める前に
OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。 これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。 ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局(CA)からサーバ証明書を受け取ったら、この手順を開始します。
1 | CA からサーバー証明書を受け取ったら、次のように保存します。 |
2 | 証明書をテキストとして表示し、詳細を確認します。
|
3 | テキスト エディタを使用して、証明書バンドル ファイルを作成します。
|
4 | 親しみやすい名前で .p12 ファイルを作成する
|
5 | サーバ証明書の詳細を確認してください。 |
次に行うこと
「 ハイブリッド データ セキュリティの前提条件を満たす」に戻ります。 次を使用します: hdsnode.p12
[HDSホストの設定ISOの作成]で設定したファイルとパスワード。
これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。 |
HDS ノードとクラウド間のトラフィック
アウトバウンドメトリック収集トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドに特定のメトリックを送信します。 これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。 ノードは、(リクエストとは別に)帯域外チャネル上で暗号化されたキー素材を送信します。
着信トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプのインバウンド トラフィックを受信します。
暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなります ギフトボックス・ラッピングについて __________________ wss:
) ハイブリッド データ セキュリティが必要とする接続。 これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss:
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
次を追加します: on_unsupported_protocol
指示する squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
次のルールが追加され、ハイブリッド データ セキュリティが正常にテストされました。 squid.conf
です。 これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新規および変更された情報
日付 | 変更履歴 | ||
---|---|---|---|
2023年10月20日。 |
| ||
2023年8月7日。 |
| ||
2023年5月23日。 |
| ||
2022 年 12 月 06 日 |
| ||
2022年11月23日。 |
| ||
2021 年 10 月 13 日 | HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。 | ||
2017 年 6 月 24 日 | 秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。 | ||
2021 年 4 月 30 日 | ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。 | ||
2021 年 2 月 24 日 | HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。 | ||
2021 年 2 月 2 日 | HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。 | ||
2021年1月11日。 | HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。 | ||
2020/10/13 | インストールファイルのダウンロードを更新しました。 | ||
2020/10/08 | 更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。 | ||
2020 年 8 月 14 日 | サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。 | ||
2020年8月5日水曜日 | ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。 ホストの最大数を削除する仮想ホスト要件を更新しました。 | ||
2020 年 6 月 16 日 | Control Hub UI の変更に関するノードの削除を更新しました。 | ||
2020 年 6 月 4 日 | 設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。 | ||
2020 年 5 月 29 日 | SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。 | ||
2020 年 5 月 5 日 | ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。 | ||
2020 年 4 月 21 日 | 新しい Americas CI ホストとの外部接続要件が更新されました。 | ||
2020 年 4 月 1 日 | 地域 CI ホストに関する情報で外部接続要件が更新されました。 | ||
2020年2月20日水曜日 | HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。 | ||
2020年2月4日。 | プロキシサーバーの要件を更新しました。 | ||
2019年12月16日 | ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。 | ||
2019 年 11 月 19 日 | 次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。 | ||
2019 年 11 月 8 日 | OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。 以下のセクションを適宜更新しました。
| ||
2019年9月6日水曜日 | データベースサーバーの要件にSQL Server Standardを追加しました。 | ||
2019 年 8 月 29 日 | 適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。 | ||
2019 年 8 月 20 日 | Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。 既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。 | ||
2019年6月13日。 | トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。 | ||
2019年3月6日(火) |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日。 |
| ||
2018年10月19日水曜日 |
| ||
2018 年 7 月 31 日 |
| ||
2018/05/21 | Cisco Spark のリブランディングを反映する用語の変更:
| ||
2018年4月11日。 |
| ||
2018年2月22日水曜日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日。 |
| ||
2017年8月18日。 | 初公開。 |
ハイブリッド データ セキュリティの概要
初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
セキュリティRealmアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。
ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。
この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。
クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。
ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。
他の組織との連携
組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。
組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。
ハイブリッド データ セキュリティの展開への期待
ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
Cisco Webex Teams プランで サポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。
データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。
HDS 導入後にキーをクラウドに戻すメカニズムはありません。 |
高レベルのセットアッププロセス
このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。
インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)
クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)
クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。
ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。
組織ごとに 1 つのクラスタのみをサポートします。
ハイブリッド データ セキュリティ トライアル モード
ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。
トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。
導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。
災害復旧のためのスタンバイデータセンター
展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。
アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。 |
災害復旧のためのスタンバイデータセンターを設定
スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。
始める前に
スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。
| ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
設定後 passiveMode
ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode
設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode
設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。
プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。
認証タイプ-次の認証タイプから選択します。
なし—追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。
外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
ハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
ハイブリッド データ セキュリティを展開するには:
Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 | の詳細 |
---|---|
| デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。 |
| CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。 この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。 |
| KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。 |
| OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。
仮想ホストの要件
クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。
以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量
データベースサーバーの要件
キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。 |
データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) | ||
---|---|---|---|
|
| ||
最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) | 最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) |
HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) |
---|---|
Postgres JDBCドライバ 42.2.5 | SQL Server JDBC ドライバ 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。
HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続の要件
HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。
アプリケーション | プロトコル | ポート | アプリからの方向 | 移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード | TCP | 443 | アウトバウンド HTTPS および WSS |
|
HDS 設定ツール | TCP | 443 | アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。 |
Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。
地域 | 共通 ID ホスト URL |
---|---|
Americas (北米、中南米エリア) |
|
欧州連合 |
|
カナダ |
|
プロキシ サーバーの要件
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
透過的プロキシ—Cisco Web Security Appliance (WSA)。
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
HTTP または HTTPS による認証がありません
HTTP または HTTPS による基本認証
HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して
wbx2.com
およびciscospark.com
問題を解決します。
ハイブリッド データ セキュリティの前提条件を完了する
1 | Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。 | ||
2 | HDS 展開のドメイン名を選択します (たとえば、 | ||
3 | クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。 | ||
4 | データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。 | ||
5 | 迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。 | ||
6 | syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。 | ||
7 | ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。
Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 | ||
8 | ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。 | ||
9 | サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。 HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。 | ||
10 | プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。 | ||
11 | 組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。
|
ハイブリッド データ セキュリティ展開タスク フロー
始める前に
1 |
後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 | ||
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。 | ||
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。
| ||
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。 | ||
5 |
HDS セットアップ ツールを使用して作成した ISO 設定ファイルから VM を設定します。 | ||
6 |
ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 | ||
7 |
ハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに仮想マシンを登録します。 | ||
8 |
クラスタの設定を完了します。 | ||
9 | トライアルを実行して本番環境に移動 (次の章) トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。 |
インストールファイルのダウンロード
1 | https://admin.webex.comにサインインし、「サービス」をクリックします。 | ||||
2 | [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。 アカウント番号を入力し、組織でハイブリッド データ セキュリティを有効にするように依頼します。 アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。
| ||||
3 | ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。 OVAファイルは自動的にダウンロードを開始します。 ファイルをマシン上の場所に保存します。
| ||||
4 | 必要に応じて、[導入ガイドを開く]をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。 |
HDS ホストの設定 ISO を作成する
ハイブリッド データ セキュリティのセットアップ プロセスは、ISO ファイルを作成します。 その後、ISO を使用してハイブリッド データ セキュリティ ホストを設定します。
始める前に
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。 次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
データベースの資格情報
証明書の更新
承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。
1 | マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境:
FedRAMP 環境の場合:
| ||||||||||||
2 | Docker 画像レジストリにサインインするには、以下を入力します。
| ||||||||||||
3 | パスワードのプロンプトに対して、このハッシュを入力します。
| ||||||||||||
4 | お使い環境に合った最新の安定した画像をダウンロードします。 一般環境:
FedRAMP 環境の場合:
| ||||||||||||
5 | プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||||
6 |
Web ブラウザを使用して localhost に移動し、 このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。 このツールには、標準のサインインプロンプトが表示されます。 | ||||||||||||
7 | プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||||
8 | [セットアップツールの概要] ページで、[はじめに] をクリックします。 | ||||||||||||
9 | [ISOインポート]ページには、次のオプションがあります。
| ||||||||||||
10 | X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||||
11 | HDS のデータベース アドレスとアカウントを入力して、キー データストアにアクセスします。 | ||||||||||||
12 | TLS データベース接続モードを選択します。
ルート証明書をアップロードし(必要に応じて)、[続行]をクリックすると、HDS Setup Tool がデータベース サーバへの TLS 接続をテストします。 また、必要に応じて、証明書の署名者とホスト名も検証されます。 テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。 エラーを無視してセットアップを続行するかどうかを選択できます。 (接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります)。 | ||||||||||||
13 | [システムログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||||
14 | (オプション)一部のデータベース接続パラメータのデフォルト値は、[詳細設定]で変更できます。 通常、このパラメータは、変更する可能性のある唯一のパラメータです。
| ||||||||||||
15 | [サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。 サービスアカウントのパスワードは9ヶ月の寿命を持っています。 パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。 | ||||||||||||
16 | [ISOファイルのダウンロード] をクリックします。 見つけやすい場所にファイルを保存します。 | ||||||||||||
17 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||||||||||||
18 | セットアップ ツールをシャットダウンするために次のように入力します。 |
次に行うこと
設定 ISO ファイルをバックアップします。 リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。
私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。 |
HDS ホスト OVA のインストール
1 | コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。 | ||||||
2 | ファイル > OVF テンプレートを展開を選択します。 | ||||||
3 | ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。 次へだ | ||||||
4 | の 名前とフォルダを選択ページ、を入力します 仮想マシン名ノード(たとえば、「HDS_Node_1」)で、仮想マシンノードの展開が可能な場所を選択し、次へだ | ||||||
5 | の 計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。 次へだ 検証チェックが実行されます。 完了すると、テンプレートの詳細が表示されます。 | ||||||
6 | テンプレートの詳細を確認し、[次へ]をクリックします。 | ||||||
7 | のリソース設定を選択するよう求められた場合 設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。 次へだ | ||||||
8 | の ストレージを選択ページ、をクリックします。 次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。 | ||||||
9 | の ネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。 | ||||||
10 | [テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッド データ セキュリティ VM のセットアップ] の手順に従って、ノード コンソールから設定を構成できます。
| ||||||
11 | ノードVMを右クリックし、 だ。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。 これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。 初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
この手順を使用して、ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 | VMware vSphere クライアントで、ハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。 ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 | 次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。 |
3 | [HDS ホスト OVA のインストール]でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。 それ以外の場合は、メインメニューで[設定の編集]オプションを選択します。 |
4 | IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。 ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。 |
5 | (オプション) ネットワーク ポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。 |
6 | ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。 |
HDS 設定 ISO のアップロードとマウント
始める前に
ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。 これらの管理者だけがデータストアにアクセスできることを確認してください。
1 | コンピュータから ISO ファイルをアップロードします。 |
2 | ISO ファイルをマウントします。 |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。 透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。 インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
始める前に
サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
1 | HDS ノードのセットアップ URL を入力 |
2 | [信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 | [ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。 証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 | [プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。 この状況は、多くの明示的なプロキシ構成で想定されています。 セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。 これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 | 接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。 この設定を有効にするには 15 秒かかります。 |
6 | [すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 | ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。 接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録する
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。 クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。
始める前に
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。
1 | https://admin.webex.comにサインインします。 |
2 | スクリーンの左側にあるメニューからサービスを選択します。 |
3 | [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッド データ セキュリティ ノードの登録] ページが表示されます。
|
4 | ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。 |
5 | 最初のフィールドに、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。 例: 「サンフランシスコ」「ニューヨーク」「ダラス」 |
6 | 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。 この IP アドレスまたは FQDN は、ハイブリッド データ セキュリティ VM のセットアップ で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 | [ノードに進む] をクリックします。 |
8 | 警告メッセージの [続ける] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
|
9 | [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
|
10 | リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。 ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。
|
より多くのノードを作成して登録する
現時点では、「ハイブリッド データ セキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタ リカバリーの場合にのみ使用されるスタンバイ ホストであり、それまではシステムに登録されていません。 詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。 |
始める前に
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。
1 | OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。 |
2 | 新しい仮想マシンで初期設定を行い、「ハイブリッド データ セキュリティ 仮想マシンのセットアップ」の手順を繰り返します。 |
3 | 新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。 |
4 | 展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。 |
5 | ノードを登録します。 ノードが登録されています。 トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
|
次に行うこと
プロダクション タスク フローへの試行
ハイブリッド データ セキュリティ クラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。
1 | 必要に応じて、 組織でユーザーのディレクトリ同期を使用している場合は、 |
2 |
トライアルを開始します。 このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。 |
3 |
重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
4 |
ステータスを確認し、アラームのメール通知を設定します。 |
5 | |
6 | 以下のいずれかの操作を行い、治験の段階を完了します。 |
トライアルの有効化
始める前に
組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup
組織のトライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。
1 | https://admin.webex.comにサインインし、「サービス」を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] セクションで、[トライアルの開始] をクリックします。 サービス ステータスがトライアル モードに変わります。
|
4 | [ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッド データ セキュリティ ノードを使用してパイロットする 1 人以上のユーザーのメール アドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアル グループを管理します。 |
ハイブリッド データ セキュリティ展開をテストする
始める前に
ハイブリッド データ セキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアル ユーザーを追加します。
キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。
1 | 特定のスペースのキーは、スペースの作成者によって設定されます。 パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。
| ||
2 | 新しいスペースにメッセージを送信します。 | ||
3 | syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの健全性を監視する
1 | Control Hubで、画面左側のメニューからサービスを選択します。 |
2 | [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッド データ セキュリティ設定] ページが表示されます。
|
3 | [メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。 |
トライアルからユーザーを追加または削除する
トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。 クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。
組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアル グループを管理します。 HdsTrialGroup
; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] 領域の [トライアルモード(Trial Mode)] セクションで、[ユーザーの追加(Add Users)] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。 |
4 | 追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。 その後、[保存] をクリックします。 |
トライアルからプロダクションへの移行
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] セクションで、[本番環境に移動] をクリックします。 |
4 | すべてのユーザーを本番環境に移行することを確認します。 |
本番環境に移行せずにトライアルを終了する
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | 「Deactivate(無効化)」セクションで「Deactivate(無効化)」をクリックします。 |
4 | サービスを無効にしてトライアルを終了することを確認します。 |
HDS 展開の管理
ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスタアップグレードスケジュールの設定
アップグレードスケジュールを設定するには:
1 | Control Hub にサインインします。 |
2 | [概要] ページの [ハイブリッド サービス] で、[ハイブリッド データ セキュリティ] を選択します。 |
3 | [ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
4 | 右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。 |
5 | 設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。 メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。 必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。 |
ノードの設定を変更する
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。 ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。 データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。 HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。 組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
ソフト リセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。 この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハード リセット—古いパスワードは即時に機能を停止します。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。 データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 | ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 | を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。 手順の詳細については、「追加のノードを作成して登録する」を参照してください。 |
3 | 古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。 各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 | ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
始める前に
1 | Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。 |
2 | [概要] (デフォルトページ) に移動します。 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 | [信頼ストアとプロキシ] ページに移動します。 |
4 | [プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。 そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 | コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。 |
2 | ノードを削除します。 |
3 | vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。 仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用したディザスタ リカバリ
ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。 ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。 また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。
クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。 ハイブリッド データ セキュリティ データベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。 このような損失を防ぐには、以下の慣行が必須です。
災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。 | ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加するか、
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
(オプション)HDS設定後にISOをアンマウントする
標準の HDS 構成は、ISO マウントで実行されます。 しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。 すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。
ISO ファイルを使用して、設定を変更します。 新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。 すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。
始める前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 | 1 つの HDS ノードをシャットダウンします。 |
2 | vCenter Server Appliance で、HDS ノードを選択します。 |
3 | データストアISOファイル]のチェックを外します。 を選択し、[ |
4 | HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。 |
5 | HDS ノードごとに順番に繰り返します。 |
アラートとトラブルシューティングの表示
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。 ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状が発生します。
新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペース タイトルの復号に失敗する:
新規ユーザーがスペースに追加されました (キーを取得できません)
新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。
ハイブリッド データ セキュリティ クラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメール アドレスにメールを送信します。 アラートは、多くの一般的なシナリオをカバーしています。
警告 | アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベース エラーまたはローカル ネットワークの問題を確認します。 |
ローカルデータベース接続に失敗しました。 |
データベース サーバが使用可能であり、ノード設定で適切なサービス アカウント クレデンシャルが使用されていることを確認します。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウドサービス登録の更新。 |
クラウドサービスへの登録が削除されました。 登録の更新が進行中です。 |
クラウドサービスの登録が削除されました。 |
クラウドサービスへの登録が終了しました。 サービスが停止しています。 |
サービスはまだアクティベートされていません。 |
トライアルを有効にするか、トライアルを本番環境に移行します。 |
設定されたドメインがサーバー証明書と一致しません。 |
サーバー証明書が設定されたサービス アクティベーション ドメインと一致していることを確認します。 最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。 |
クラウド サービスの認証に失敗しました。 |
サービスアカウントの資格情報の正確さと有効期限の可否を確認します。 |
ローカル キーストア ファイルを開くことができませんでした。 |
ローカル キーストア ファイルの整合性とパスワードの正確性を確認します。 |
ローカルサーバー証明書が無効です。 |
サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスを確認します。 |
/media/configdrive/hds ディレクトリが存在しません。 |
仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 | アラートについては Control Hub を確認し、見つかった項目を修正します。 |
2 | ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。 |
3 | Cisco サポート にお問い合わせください。 |
ハイブリッド データ セキュリティの既知の問題
ハイブリッド データ セキュリティ クラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストア データベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。 これは、トライアル展開と本番展開の両方に適用されます。 現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。 ユーザーがハイブリッド データ セキュリティ トライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。 代わりに、ユーザーは Webex アプリ アプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。
同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。 以前のデータ セキュリティ サービスへの既存の ECDH 接続を持つすべての非トライアル ユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。
OpenSSL を使用して PKCS12 ファイルを生成する
始める前に
OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。 これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。 ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局(CA)からサーバ証明書を受け取ったら、この手順を開始します。
1 | CA からサーバー証明書を受け取ったら、次のように保存します。 |
2 | 証明書をテキストとして表示し、詳細を確認します。
|
3 | テキスト エディタを使用して、証明書バンドル ファイルを作成します。
|
4 | 親しみやすい名前で .p12 ファイルを作成する
|
5 | サーバ証明書の詳細を確認してください。 |
次に行うこと
「 ハイブリッド データ セキュリティの前提条件を満たす」に戻ります。 次を使用します: hdsnode.p12
[HDSホストの設定ISOの作成]で設定したファイルとパスワード。
これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。 |
HDS ノードとクラウド間のトラフィック
アウトバウンドメトリック収集トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドに特定のメトリックを送信します。 これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。 ノードは、(リクエストとは別に)帯域外チャネル上で暗号化されたキー素材を送信します。
着信トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプのインバウンド トラフィックを受信します。
暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなります ギフトボックス・ラッピングについて __________________ wss:
) ハイブリッド データ セキュリティが必要とする接続。 これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss:
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
次を追加します: on_unsupported_protocol
指示する squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
次のルールが追加され、ハイブリッド データ セキュリティが正常にテストされました。 squid.conf
です。 これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新規および変更された情報
日付 | 変更履歴 | ||
---|---|---|---|
2023年10月20日。 |
| ||
2023年8月7日。 |
| ||
2023年5月23日。 |
| ||
2022 年 12 月 06 日 |
| ||
2022年11月23日。 |
| ||
2021 年 10 月 13 日 | HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。 | ||
2017 年 6 月 24 日 | 秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。 | ||
2021 年 4 月 30 日 | ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。 | ||
2021 年 2 月 24 日 | HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。 | ||
2021 年 2 月 2 日 | HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。 | ||
2021年1月11日。 | HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。 | ||
2020/10/13 | インストールファイルのダウンロードを更新しました。 | ||
2020/10/08 | 更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。 | ||
2020 年 8 月 14 日 | サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。 | ||
2020年8月5日水曜日 | ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。 ホストの最大数を削除する仮想ホスト要件を更新しました。 | ||
2020 年 6 月 16 日 | Control Hub UI の変更に関するノードの削除を更新しました。 | ||
2020 年 6 月 4 日 | 設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。 | ||
2020 年 5 月 29 日 | SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。 | ||
2020 年 5 月 5 日 | ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。 | ||
2020 年 4 月 21 日 | 新しい Americas CI ホストとの外部接続要件が更新されました。 | ||
2020 年 4 月 1 日 | 地域 CI ホストに関する情報で外部接続要件が更新されました。 | ||
2020年2月20日水曜日 | HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。 | ||
2020年2月4日。 | プロキシサーバーの要件を更新しました。 | ||
2019年12月16日 | ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。 | ||
2019 年 11 月 19 日 | 次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。 | ||
2019 年 11 月 8 日 | OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。 以下のセクションを適宜更新しました。
| ||
2019年9月6日水曜日 | データベースサーバーの要件にSQL Server Standardを追加しました。 | ||
2019 年 8 月 29 日 | 適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。 | ||
2019 年 8 月 20 日 | Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。 既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。 | ||
2019年6月13日。 | トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。 | ||
2019年3月6日(火) |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日。 |
| ||
2018年10月19日水曜日 |
| ||
2018 年 7 月 31 日 |
| ||
2018/05/21 | Cisco Spark のリブランディングを反映する用語の変更:
| ||
2018年4月11日。 |
| ||
2018年2月22日水曜日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日。 |
| ||
2017年8月18日。 | 初公開。 |
ハイブリッド データ セキュリティの概要
初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
セキュリティRealmアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。
ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。
この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。
クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。
ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。
他の組織との連携
組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。
組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。
ハイブリッド データ セキュリティの展開への期待
ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
Cisco Webex Teams プランで サポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。
データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。
HDS 導入後にキーをクラウドに戻すメカニズムはありません。 |
高レベルのセットアッププロセス
このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。
インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)
クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)
クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。
ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。
組織ごとに 1 つのクラスタのみをサポートします。
ハイブリッド データ セキュリティ トライアル モード
ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。
トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。
導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。
災害復旧のためのスタンバイデータセンター
展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。
アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。 |
災害復旧のためのスタンバイデータセンターを設定
スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。
始める前に
スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。
| ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
設定後 passiveMode
ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode
設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode
設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。
プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。
認証タイプ-次の認証タイプから選択します。
なし—追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。
外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
ハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
ハイブリッド データ セキュリティを展開するには:
Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 | の詳細 |
---|---|
| デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。 |
| CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。 この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。 |
| KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。 |
| OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。
仮想ホストの要件
クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。
以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量
データベースサーバーの要件
キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。 |
データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) | ||
---|---|---|---|
|
| ||
最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) | 最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) |
HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) |
---|---|
Postgres JDBCドライバ 42.2.5 | SQL Server JDBC ドライバ 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。
HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続の要件
HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。
アプリケーション | プロトコル | ポート | アプリからの方向 | 移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード | TCP | 443 | アウトバウンド HTTPS および WSS |
|
HDS 設定ツール | TCP | 443 | アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。 |
Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。
地域 | 共通 ID ホスト URL |
---|---|
Americas (北米、中南米エリア) |
|
欧州連合 |
|
カナダ |
|
プロキシ サーバーの要件
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
透過的プロキシ—Cisco Web Security Appliance (WSA)。
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
HTTP または HTTPS による認証がありません
HTTP または HTTPS による基本認証
HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して
wbx2.com
およびciscospark.com
問題を解決します。
ハイブリッド データ セキュリティの前提条件を完了する
1 | Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。 | ||
2 | HDS 展開のドメイン名を選択します (たとえば、 | ||
3 | クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。 | ||
4 | データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。 | ||
5 | 迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。 | ||
6 | syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。 | ||
7 | ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。
Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 | ||
8 | ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。 | ||
9 | サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。 HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。 | ||
10 | プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。 | ||
11 | 組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。
|
ハイブリッド データ セキュリティ展開タスク フロー
始める前に
1 |
後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 | ||
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。 | ||
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。
| ||
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。 | ||
5 |
HDS セットアップ ツールを使用して作成した ISO 設定ファイルから VM を設定します。 | ||
6 |
ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 | ||
7 |
ハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに仮想マシンを登録します。 | ||
8 |
クラスタの設定を完了します。 | ||
9 | トライアルを実行して本番環境に移動 (次の章) トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。 |
インストールファイルのダウンロード
1 | https://admin.webex.comにサインインし、「サービス」をクリックします。 | ||||
2 | [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。 アカウント番号を入力し、組織でハイブリッド データ セキュリティを有効にするように依頼します。 アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。
| ||||
3 | ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。 OVAファイルは自動的にダウンロードを開始します。 ファイルをマシン上の場所に保存します。
| ||||
4 | 必要に応じて、[導入ガイドを開く]をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。 |
HDS ホストの設定 ISO を作成する
ハイブリッド データ セキュリティのセットアップ プロセスは、ISO ファイルを作成します。 その後、ISO を使用してハイブリッド データ セキュリティ ホストを設定します。
始める前に
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。 次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
データベースの資格情報
証明書の更新
承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。
1 | マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境:
FedRAMP 環境の場合:
| ||||||||||||
2 | Docker 画像レジストリにサインインするには、以下を入力します。
| ||||||||||||
3 | パスワードのプロンプトに対して、このハッシュを入力します。
| ||||||||||||
4 | お使い環境に合った最新の安定した画像をダウンロードします。 一般環境:
FedRAMP 環境の場合:
| ||||||||||||
5 | プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||||
6 |
Web ブラウザを使用して localhost に移動し、 このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。 このツールには、標準のサインインプロンプトが表示されます。 | ||||||||||||
7 | プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||||
8 | [セットアップツールの概要] ページで、[はじめに] をクリックします。 | ||||||||||||
9 | [ISOインポート]ページには、次のオプションがあります。
| ||||||||||||
10 | X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||||
11 | HDS のデータベース アドレスとアカウントを入力して、キー データストアにアクセスします。 | ||||||||||||
12 | TLS データベース接続モードを選択します。
ルート証明書をアップロードし(必要に応じて)、[続行]をクリックすると、HDS Setup Tool がデータベース サーバへの TLS 接続をテストします。 また、必要に応じて、証明書の署名者とホスト名も検証されます。 テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。 エラーを無視してセットアップを続行するかどうかを選択できます。 (接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります)。 | ||||||||||||
13 | [システムログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||||
14 | (オプション)一部のデータベース接続パラメータのデフォルト値は、[詳細設定]で変更できます。 通常、このパラメータは、変更する可能性のある唯一のパラメータです。
| ||||||||||||
15 | [サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。 サービスアカウントのパスワードは9ヶ月の寿命を持っています。 パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。 | ||||||||||||
16 | [ISOファイルのダウンロード] をクリックします。 見つけやすい場所にファイルを保存します。 | ||||||||||||
17 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||||||||||||
18 | セットアップ ツールをシャットダウンするために次のように入力します。 |
次に行うこと
設定 ISO ファイルをバックアップします。 リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。
私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。 |
HDS ホスト OVA のインストール
1 | コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。 | ||||||
2 | ファイル > OVF テンプレートを展開を選択します。 | ||||||
3 | ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。 次へだ | ||||||
4 | の 名前とフォルダを選択ページ、を入力します 仮想マシン名ノード(たとえば、「HDS_Node_1」)で、仮想マシンノードの展開が可能な場所を選択し、次へだ | ||||||
5 | の 計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。 次へだ 検証チェックが実行されます。 完了すると、テンプレートの詳細が表示されます。 | ||||||
6 | テンプレートの詳細を確認し、[次へ]をクリックします。 | ||||||
7 | のリソース設定を選択するよう求められた場合 設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。 次へだ | ||||||
8 | の ストレージを選択ページ、をクリックします。 次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。 | ||||||
9 | の ネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。 | ||||||
10 | [テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッド データ セキュリティ VM のセットアップ] の手順に従って、ノード コンソールから設定を構成できます。
| ||||||
11 | ノードVMを右クリックし、 だ。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。 これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。 初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
この手順を使用して、ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 | VMware vSphere クライアントで、ハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。 ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 | 次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。 |
3 | [HDS ホスト OVA のインストール]でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。 それ以外の場合は、メインメニューで[設定の編集]オプションを選択します。 |
4 | IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。 ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。 |
5 | (オプション) ネットワーク ポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。 |
6 | ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。 |
HDS 設定 ISO のアップロードとマウント
始める前に
ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。 これらの管理者だけがデータストアにアクセスできることを確認してください。
1 | コンピュータから ISO ファイルをアップロードします。 |
2 | ISO ファイルをマウントします。 |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。 透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。 インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
始める前に
サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
1 | HDS ノードのセットアップ URL を入力 |
2 | [信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 | [ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。 証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 | [プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。 この状況は、多くの明示的なプロキシ構成で想定されています。 セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。 これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 | 接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。 この設定を有効にするには 15 秒かかります。 |
6 | [すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 | ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。 接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録する
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。 クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。
始める前に
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。
1 | https://admin.webex.comにサインインします。 |
2 | スクリーンの左側にあるメニューからサービスを選択します。 |
3 | [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッド データ セキュリティ ノードの登録] ページが表示されます。
|
4 | ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。 |
5 | 最初のフィールドに、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。 例: 「サンフランシスコ」「ニューヨーク」「ダラス」 |
6 | 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。 この IP アドレスまたは FQDN は、ハイブリッド データ セキュリティ VM のセットアップ で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 | [ノードに進む] をクリックします。 |
8 | 警告メッセージの [続ける] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
|
9 | [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
|
10 | リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。 ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。
|
より多くのノードを作成して登録する
現時点では、「ハイブリッド データ セキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタ リカバリーの場合にのみ使用されるスタンバイ ホストであり、それまではシステムに登録されていません。 詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。 |
始める前に
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。
1 | OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。 |
2 | 新しい仮想マシンで初期設定を行い、「ハイブリッド データ セキュリティ 仮想マシンのセットアップ」の手順を繰り返します。 |
3 | 新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。 |
4 | 展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。 |
5 | ノードを登録します。 ノードが登録されています。 トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
|
次に行うこと
プロダクション タスク フローへの試行
ハイブリッド データ セキュリティ クラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。
1 | 必要に応じて、 組織でユーザーのディレクトリ同期を使用している場合は、 |
2 |
トライアルを開始します。 このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。 |
3 |
重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
4 |
ステータスを確認し、アラームのメール通知を設定します。 |
5 | |
6 | 以下のいずれかの操作を行い、治験の段階を完了します。 |
トライアルの有効化
始める前に
組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup
組織のトライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。
1 | https://admin.webex.comにサインインし、「サービス」を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] セクションで、[トライアルの開始] をクリックします。 サービス ステータスがトライアル モードに変わります。
|
4 | [ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッド データ セキュリティ ノードを使用してパイロットする 1 人以上のユーザーのメール アドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアル グループを管理します。 |
ハイブリッド データ セキュリティ展開をテストする
始める前に
ハイブリッド データ セキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアル ユーザーを追加します。
キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。
1 | 特定のスペースのキーは、スペースの作成者によって設定されます。 パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。
| ||
2 | 新しいスペースにメッセージを送信します。 | ||
3 | syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの健全性を監視する
1 | Control Hubで、画面左側のメニューからサービスを選択します。 |
2 | [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッド データ セキュリティ設定] ページが表示されます。
|
3 | [メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。 |
トライアルからユーザーを追加または削除する
トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。 クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。
組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアル グループを管理します。 HdsTrialGroup
; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] 領域の [トライアルモード(Trial Mode)] セクションで、[ユーザーの追加(Add Users)] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。 |
4 | 追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。 その後、[保存] をクリックします。 |
トライアルからプロダクションへの移行
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | [サービスステータス(Service Status)] セクションで、[本番環境に移動] をクリックします。 |
4 | すべてのユーザーを本番環境に移行することを確認します。 |
本番環境に移行せずにトライアルを終了する
1 | Control Hub にサインインし、[サービス] を選択します。 |
2 | [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。 |
3 | 「Deactivate(無効化)」セクションで「Deactivate(無効化)」をクリックします。 |
4 | サービスを無効にしてトライアルを終了することを確認します。 |
HDS 展開の管理
ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスタアップグレードスケジュールの設定
アップグレードスケジュールを設定するには:
1 | Control Hub にサインインします。 |
2 | [概要] ページの [ハイブリッド サービス] で、[ハイブリッド データ セキュリティ] を選択します。 |
3 | [ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
4 | 右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。 |
5 | 設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。 メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。 必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。 |
ノードの設定を変更する
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。 ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。 データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。 HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。 組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
ソフト リセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。 この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハード リセット—古いパスワードは即時に機能を停止します。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。 データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 | ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 | を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。 手順の詳細については、「追加のノードを作成して登録する」を参照してください。 |
3 | 古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。 各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 | ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
始める前に
1 | Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。 |
2 | [概要] (デフォルトページ) に移動します。 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 | [信頼ストアとプロキシ] ページに移動します。 |
4 | [プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。 そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 | コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。 |
2 | ノードを削除します。 |
3 | vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。 仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用したディザスタ リカバリ
ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。 ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。 また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。
クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。 ハイブリッド データ セキュリティ データベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。 このような損失を防ぐには、以下の慣行が必須です。
災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。 | ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加するか、
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
(オプション)HDS設定後にISOをアンマウントする
標準の HDS 構成は、ISO マウントで実行されます。 しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。 すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。
ISO ファイルを使用して、設定を変更します。 新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。 すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。
始める前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 | 1 つの HDS ノードをシャットダウンします。 |
2 | vCenter Server Appliance で、HDS ノードを選択します。 |
3 | データストアISOファイル]のチェックを外します。 を選択し、[ |
4 | HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。 |
5 | HDS ノードごとに順番に繰り返します。 |
アラートとトラブルシューティングの表示
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。 ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状が発生します。
新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペース タイトルの復号に失敗する:
新規ユーザーがスペースに追加されました (キーを取得できません)
新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。
ハイブリッド データ セキュリティ クラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメール アドレスにメールを送信します。 アラートは、多くの一般的なシナリオをカバーしています。
警告 | アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベース エラーまたはローカル ネットワークの問題を確認します。 |
ローカルデータベース接続に失敗しました。 |
データベース サーバが使用可能であり、ノード設定で適切なサービス アカウント クレデンシャルが使用されていることを確認します。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウドサービス登録の更新。 |
クラウドサービスへの登録が削除されました。 登録の更新が進行中です。 |
クラウドサービスの登録が削除されました。 |
クラウドサービスへの登録が終了しました。 サービスが停止しています。 |
サービスはまだアクティベートされていません。 |
トライアルを有効にするか、トライアルを本番環境に移行します。 |
設定されたドメインがサーバー証明書と一致しません。 |
サーバー証明書が設定されたサービス アクティベーション ドメインと一致していることを確認します。 最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。 |
クラウド サービスの認証に失敗しました。 |
サービスアカウントの資格情報の正確さと有効期限の可否を確認します。 |
ローカル キーストア ファイルを開くことができませんでした。 |
ローカル キーストア ファイルの整合性とパスワードの正確性を確認します。 |
ローカルサーバー証明書が無効です。 |
サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスを確認します。 |
/media/configdrive/hds ディレクトリが存在しません。 |
仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 | アラートについては Control Hub を確認し、見つかった項目を修正します。 |
2 | ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。 |
3 | Cisco サポート にお問い合わせください。 |
ハイブリッド データ セキュリティの既知の問題
ハイブリッド データ セキュリティ クラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストア データベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。 これは、トライアル展開と本番展開の両方に適用されます。 現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。 ユーザーがハイブリッド データ セキュリティ トライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。 代わりに、ユーザーは Webex アプリ アプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。
同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。 以前のデータ セキュリティ サービスへの既存の ECDH 接続を持つすべての非トライアル ユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。
OpenSSL を使用して PKCS12 ファイルを生成する
始める前に
OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。 これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。 ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局(CA)からサーバ証明書を受け取ったら、この手順を開始します。
1 | CA からサーバー証明書を受け取ったら、次のように保存します。 |
2 | 証明書をテキストとして表示し、詳細を確認します。
|
3 | テキスト エディタを使用して、証明書バンドル ファイルを作成します。
|
4 | 親しみやすい名前で .p12 ファイルを作成する
|
5 | サーバ証明書の詳細を確認してください。 |
次に行うこと
「 ハイブリッド データ セキュリティの前提条件を満たす」に戻ります。 次を使用します: hdsnode.p12
[HDSホストの設定ISOの作成]で設定したファイルとパスワード。
これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。 |
HDS ノードとクラウド間のトラフィック
アウトバウンドメトリック収集トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドに特定のメトリックを送信します。 これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。 ノードは、(リクエストとは別に)帯域外チャネル上で暗号化されたキー素材を送信します。
着信トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプのインバウンド トラフィックを受信します。
暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなります ギフトボックス・ラッピングについて __________________ wss:
) ハイブリッド データ セキュリティが必要とする接続。 これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss:
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
次を追加します: on_unsupported_protocol
指示する squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
次のルールが追加され、ハイブリッド データ セキュリティが正常にテストされました。 squid.conf
です。 これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新規および変更された情報
日付 | 変更履歴 | ||
---|---|---|---|
2023年10月20日。 |
| ||
2023年8月7日。 |
| ||
2023年5月23日。 |
| ||
2022 年 12 月 06 日 |
| ||
2022年11月23日。 |
| ||
2021 年 10 月 13 日 | HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。 | ||
2017 年 6 月 24 日 | 秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。 | ||
2021 年 4 月 30 日 | ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。 | ||
2021 年 2 月 24 日 | HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。 | ||
2021 年 2 月 2 日 | HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。 | ||
2021年1月11日。 | HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。 | ||
2020/10/13 | インストールファイルのダウンロードを更新しました。 | ||
2020/10/08 | 更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。 | ||
2020 年 8 月 14 日 | サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。 | ||
2020年8月5日水曜日 | ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。 ホストの最大数を削除する仮想ホスト要件を更新しました。 | ||
2020 年 6 月 16 日 | Control Hub UI の変更に関するノードの削除を更新しました。 | ||
2020 年 6 月 4 日 | 設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。 | ||
2020 年 5 月 29 日 | SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。 | ||
2020 年 5 月 5 日 | ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。 | ||
2020 年 4 月 21 日 | 新しい Americas CI ホストとの外部接続要件が更新されました。 | ||
2020 年 4 月 1 日 | 地域 CI ホストに関する情報で外部接続要件が更新されました。 | ||
2020年2月20日水曜日 | HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。 | ||
2020年2月4日。 | プロキシサーバーの要件を更新しました。 | ||
2019年12月16日 | ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。 | ||
2019 年 11 月 19 日 | 次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。 | ||
2019 年 11 月 8 日 | OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。 以下のセクションを適宜更新しました。
| ||
2019年9月6日水曜日 | データベースサーバーの要件にSQL Server Standardを追加しました。 | ||
2019 年 8 月 29 日 | 適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。 | ||
2019 年 8 月 20 日 | Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。 既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。 | ||
2019年6月13日。 | トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。 | ||
2019年3月6日(火) |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日。 |
| ||
2018年10月19日水曜日 |
| ||
2018 年 7 月 31 日 |
| ||
2018/05/21 | Cisco Spark のリブランディングを反映する用語の変更:
| ||
2018年4月11日。 |
| ||
2018年2月22日水曜日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日。 |
| ||
2017年8月18日。 | 初公開。 |
ハイブリッド データ セキュリティの概要
初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
セキュリティRealmアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。
ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。
この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。
クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。
ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。
他の組織との連携
組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。
組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。
ハイブリッド データ セキュリティの展開への期待
ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
Cisco Webex Teams プランで サポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。
データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。
HDS 導入後にキーをクラウドに戻すメカニズムはありません。 |
高レベルのセットアッププロセス
このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。
インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)
クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)
クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。
ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。
組織ごとに 1 つのクラスタのみをサポートします。
ハイブリッド データ セキュリティ トライアル モード
ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。
トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。
導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。
災害復旧のためのスタンバイデータセンター
展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。
アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。 |
災害復旧のためのスタンバイデータセンターを設定
スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。
始める前に
スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。
1 | HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。
| ||
2 | Syslogdサーバーを構成した後、[詳細設定]をクリックします。 | ||
3 | [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。
| ||
4 | 構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。 | ||
5 | ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。 | ||
6 | VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。 | ||
7 | [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。
| ||
8 | HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。 | ||
9 | スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。
|
次に行うこと
設定後 passiveMode
ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode
設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode
設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。
プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。
認証タイプ-次の認証タイプから選択します。
なし—追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。
外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
ハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
ハイブリッド データ セキュリティを展開するには:
Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 | の詳細 |
---|---|
| デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。 |
| CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。 この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。 |
| KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。 |
| OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。
仮想ホストの要件
クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。
以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量
データベースサーバーの要件
キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。 |
データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) | ||
---|---|---|---|
|
| ||
最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) | 最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨) |
HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。
PostgreSQLについて | Microsoft SQL Server(マイクロソフト SQL サーバー) |
---|---|
Postgres JDBCドライバ 42.2.5 | SQL Server JDBC ドライバ 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。
HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続の要件
HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。
アプリケーション | プロトコル | ポート | アプリからの方向 | 移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード | TCP | 443 | アウトバウンド HTTPS および WSS |
|
HDS 設定ツール | TCP | 443 | アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。 |
Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。
地域 | 共通 ID ホスト URL |
---|---|
Americas (北米、中南米エリア) |
|
欧州連合 |
|
カナダ |
|
プロキシ サーバーの要件
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
透過的プロキシ—Cisco Web Security Appliance (WSA)。
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
HTTP または HTTPS による認証がありません
HTTP または HTTPS による基本認証
HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して
wbx2.com
およびciscospark.com
問題を解決します。
ハイブリッド データ セキュリティの前提条件を完了する
1 | Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。 | ||
2 | HDS 展開のドメイン名を選択します (たとえば、 | ||
3 | クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。 | ||
4 | データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。 | ||
5 | 迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。 | ||
6 | syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。 | ||
7 | ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。
Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 | ||
8 | ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。 | ||
9 | サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。 HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。 | ||
10 | プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。 | ||
11 | 組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。
|
ハイブリッド データ セキュリティ展開タスク フロー
始める前に
1 |
後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 | ||
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。 | ||
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。
| ||
4 |