- ホーム
- /
- 投稿記事
マルチテナント ハイブリッド データ セキュリティ (HDS) の導入ガイド (ベータ版)
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2024 年 12 月 13 日 |
最初のリリース。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 1 月 15 日 |
マルチテナントハイブリッド データ セキュリティの制限を追加しました。 |
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティの制限
- パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
- パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
- パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。
管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。
マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
- HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
- 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
- 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 1 月 30 日 |
データベース サーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。 |
2025 年 1 月 15 日 |
マルチテナントハイブリッド データ セキュリティの制限を追加しました。 |
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティの制限
- パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
- パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
- パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。
管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。
マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
- HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
- 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
- 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 1 月 30 日 |
データベース サーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。 |
2025 年 1 月 15 日 |
マルチテナントハイブリッド データ セキュリティの制限を追加しました。 |
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティの制限
- パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
- パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
- パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。
管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。
マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
- HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
- 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
- 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。たとえば CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする (検査しない) ことで問題を解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例: |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、[ |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
HDS ノードセットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート
認証ありの HTTP プロキシ
グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取るとき、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。
これは、サービスの適切な運用のためのトラフィックです。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol すべてトンネル
Squid 3.5.27
以下の規則が squid.conf
に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。
日付 |
変更を行いました |
---|---|
2025 年 3 月 4 日 |
|
2025 年 1 月 30 日 |
データベース サーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。 |
2025 年 1 月 15 日 |
マルチテナントハイブリッド データ セキュリティの制限を追加しました。 |
2025 年 1 月 8 日 |
「初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。 |
2025 年 1 月 7 日 |
「仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。 |
2024 年 12 月 13 日 |
初公開。 |
マルチテナントのハイブリッド データ セキュリティの無効化
マルチテナント HDS の無効化タスク フロー
マルチテナント HDS を完全に無効にするには、次の手順に従います。
開始する前に
1 |
「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。 |
2 |
「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。 |
3 |
「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。 |
マルチテナントのハイブリッド データ セキュリティを使い始める
マルチテナントのハイブリッド データ セキュリティの概要
Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。
また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。
マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合、ローカルテクニカルサポートのオプション。
- ミーティング、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。
マルチテナントハイブリッド データ セキュリティの制限
- パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
- パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
- パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。
管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。
マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
- HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
- 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
- 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。
マルチテナントハイブリッド データ セキュリティのロール
- パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
-
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワーク アクセス。
ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。
HDS 展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアップ プロセス
このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。
セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
-
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
-
透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
-
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ: 次の認証タイプから選択します。
-
なし: 追加の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッド データ セキュリティの要件
Cisco Webex ライセンス要件
マルチテナントのハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)
Docker デスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
Docker デスクトップ ライセンスを使用していない顧客は、Podman Desktop などのオープン ソース コンテナー管理ツールを使用して、コンテナの実行、管理、作成を行うことができます。詳細については、「Podman Desktop を使用して HDS セットアップ ツールを実行する 」を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。組織を反映した名前を使用することをお勧めします。たとえば、 CN に *(ワイルドカード)を含めることはできません。 CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
-
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。
ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
-
最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量
データベース サーバーの要件
キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。
ポストSQL |
Microsoft SQL サーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。
ポストSQL |
Microsoft SQL サーバー |
---|---|
Postgres JDBCドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
-
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。
外部接続要件
ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。
アプリケーション |
プロトコル |
ポート |
アプリからの方向 |
移動先 |
---|---|---|---|---|
ハイブリッド データ セキュリティ ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。
地域 |
共通 ID ホスト URL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッド データ セキュリティのために Squid プロキシを構成する」を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が起これば、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする(検査しない)ことが解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織は既存の HDS 展開を持つべきではありません。 |
2 |
HDS 展開のドメイン名 (例、 |
3 |
クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。 |
4 |
データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。 |
5 |
災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。 |
9 |
Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッド データ セキュリティ クラスタをセットアップ
ハイブリッド データ セキュリティ展開のタスク フロー
1 |
初期セットアップを実行し、インストール ファイルをダウンロードする 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。 |
6 |
ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。 |
8 |
クラスタのセットアップを完了します。 |
9 |
Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストール ファイルをダウンロードする
このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。
1 |
Partner Hub にサインインし、[サービス] をクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。 |
3 |
[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。 古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。 をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
Docker Desktop ライセンスをお持ちでない場合は、Podman Desktop を使用して、以下の手順の手順 1 ~ 5 で HDS セットアップ ツールを実行できます。詳細については、「Podman Desktop を使用して HDS セットアップ ツールを実行する 」を参照してください。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 | ||||||||||
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
[ISO インポート] ページで次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。
| ||||||||||
11 |
HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLS データベース接続モードを選択します。
ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。 | ||||||||||
13 |
[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。 | ||||||||||
14 |
(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。 | ||||||||||
15 |
[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。 サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、 |
次に行うこと
構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。
このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。 |
4 |
[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。 |
5 |
[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、[次へ] をクリックします。 |
7 |
[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。 |
8 |
[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。 |
9 |
[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。 |
10 |
[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。 |
11 |
ノード VM を右クリックし、 を選択します。ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、「プロキシ サポート 」を参照してください。
1 |
Web ブラウザ |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスタ内の最初のノードを登録
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。 |
4 |
開いたページで、[リソースの追加] をクリックします。 |
5 |
[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。 この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
|
9 |
リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。 [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
他のノードを作成して登録
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。
1 |
OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。 |
2 |
新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。 |
3 |
新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。 |
4 |
展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する
Partner Hub でマルチテナント HDS をアクティブにする
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。 |
4 |
[HDS ステータス] カードで [HDS を有効にする] をクリックします。 |
Partner Hub でテナント組織を追加
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
顧客を割り当てるクラスタをクリックします。 |
5 |
[割り当てられた顧客] タブに移動します。 |
6 |
[顧客の追加] をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
[追加] をクリックすると、顧客がクラスタに追加されます。 |
9 |
複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。 |
10 |
顧客を追加したら、画面下部にある [完了] をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する
開始する前に
「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除
開始する前に
削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。 |
4 |
[リソース] タブで、顧客組織を削除するクラスタをクリックします。 |
5 |
開いたページで、[割り当てられた顧客] をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。 |
次に行うこと
「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。 |
7 |
プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
[ISO インポート] ページで、[はい] をクリックします。 |
10 |
ブラウザで ISO ファイルを選択してアップロードします。 |
11 |
[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。
|
12 |
CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK 失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテスト
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。
-
syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 |
ハイブリッド データ セキュリティの正常性のモニター
1 |
[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDS 展開を管理します
HDS 展開の管理
ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。 |
5 |
[クラスター設定] タブをクリックします。 |
6 |
[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット: 古いパスワードがすぐに機能しなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。
Docker Desktop ライセンスをお持ちでない場合は、Podman Desktop を使用して、以下の手順の手順 1.a ~ 1 の HDS セットアップ ツールを実行できます。詳細については、「Podman Desktop を使用して HDS セットアップ ツールを実行する 」を参照してください。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。) VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:
災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。
開始する前に
1 |
HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 |
2 |
設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。 |
3 |
ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。 ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。 |
8 |
スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 設定後に ISO を取り外す
標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。
設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server アプライアンスで、HDS ノードを選択します。 |
3 |
[データストア ISO ファイル] のチェックを外します。 の順に選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。
警告
ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
Partner Hub で HDS を有効にします。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織では、テナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。 |
削除された組織のテナント組織のセットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。 |
3 |
Cisco サポートに連絡します。 |
その他のメモ
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
Podman Desktop を使用して HDS セットアップ ツールを実行します
ポッドマンは、コンテナの運行、管理、作成の方法を提供するオープンソースの無料コンテナ管理ツールです。Podman デスクトップは https://podman-desktop.io/downloads からダウンロードできます。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Podman をダウンロードして実行します。セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
-
データベース クレデンシャル
-
証明書の更新
-
認証ポリシーの変更
-
-
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。
ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
次に行うこと
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受信したら、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディタを使用して、
|
4 |
親しみやすい名前
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12
[HDS ホストの構成 ISO を作成する] で、設定したファイル、およびパスワードを使用します。
元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:
) 接続の確立に干渉する可能性があります。これらのセクションでは、サービスの適切な運用のためにwss:
トラフィックを無視するために、さまざまなバージョンの Squid を構成する方法について説明します。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加します。
on_unsupported_protocol tunnel all
Squid 3.5.27
次のルールを squid.conf
に追加して、ハイブリッド データ セキュリティを正常にテストしました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新規および変更された情報
新規および変更された情報
この表には 、マルチテナント ハイブリッド データ セキュリティの展開ガイドで修正された新しい機能、既存のコンテンツへの変更、および主要なエラーが記載されています。
日付 |
変更内容 |
---|---|
2025年5月8日 |
|
2025年3月4日 |
|
2025年1月30日 |
データベース サーバーの要件でサポートされている SQL サーバーの一覧に SQL サーバー バージョン 2022 を追加しました。 |
2025年1月15日 |
マルチテナントハイブリッドデータセキュリティの制限事項を追加しました。 |
2025年1月8日 |
初期セットアップを実行してインストール ファイルをダウンロードする に、パートナー ハブの HDS カードで セットアップ をクリックすることがインストール プロセスの重要な手順であることを示す注記を追加しました。 |
2025年1月7日 |
ESXi 7.0 の新しい要件を示すために、 仮想ホストの要件、 ハイブリッド データ セキュリティの導入タスク フロー、および HDS ホスト OVA のインストール を更新しました。 |
2024年12月13日 |
初公開。 |
マルチテナントハイブリッドデータセキュリティを無効にする
マルチテナント HDS 非アクティブ化タスクフロー
マルチテナント HDS を完全に非アクティブ化するには、次の手順に従います。
開始する前に
1 |
テナント組織の削除で説明されているように、すべてのクラスターからすべての顧客を削除します。 |
2 |
HDS から削除されたテナントの CMK を取り消します。に記載されているように、すべての顧客の CMK を取り消します。 |
3 |
ノードの削除で説明したように、すべてのクラスターからすべてのノードを削除します。 |
4 |
次の 2 つの方法のいずれかを使用して、パートナー ハブからすべてのクラスターを削除します。
|
5 |
ハイブリッド データ セキュリティの概要ページで 設定 タブをクリックし、HDS ステータス カードで HDS を非アクティブ化 をクリックします。 |
マルチテナントハイブリッドデータセキュリティを始める
マルチテナントハイブリッドデータセキュリティの概要
最初から、データ セキュリティは Webex アプリの設計における主な焦点でした。このセキュリティの基礎となるのは、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで実現されるエンドツーエンドのコンテンツ暗号化です。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。
デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存された動的キーによるエンドツーエンドの暗号化を利用できます。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。
マルチテナント ハイブリッド データ セキュリティ により、組織は信頼できるローカル パートナーを通じて HDS を活用できるようになります。ローカル パートナーはサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できます。この設定により、パートナー組織は暗号化キーの展開と管理を完全に制御できるようになり、顧客組織のユーザー データが外部からのアクセスから安全であることを保証できます。パートナー組織は、必要に応じて HDS インスタンスをセットアップし、HDS クラスターを作成します。通常の HDS 展開が単一の組織に限定されるのとは異なり、各インスタンスは複数の顧客組織をサポートできます。
また、キー管理サービスやデータセンターなどのセキュリティ インフラストラクチャは信頼できるローカル パートナーが所有しているため、小規模な組織でも HDS を活用できるようになります。
マルチテナントハイブリッドデータセキュリティがデータ主権とデータ制御を提供する仕組み
- ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
- 現地の信頼できるパートナーが、すでに関係を確立している顧客の暗号化キーを管理します。
- パートナーが提供する場合のローカル テクニカル サポートのオプション。
- 会議、メッセージング、通話コンテンツをサポートします。
このドキュメントは、パートナー組織がマルチテナント ハイブリッド データ セキュリティ システムで顧客を設定および管理できるように支援することを目的としています。
マルチテナントハイブリッドデータセキュリティの限界
- パートナー組織は、Control Hub でアクティブな既存の HDS 展開を保持してはなりません。
- パートナーによる管理を希望するテナントまたは顧客組織には、Control Hub に既存の HDS 展開が存在してはなりません。
- パートナーが Multi-Tenant HDS を導入すると、顧客組織のすべてのユーザーとパートナー組織のユーザーが暗号化サービスに Multi-Tenant HDS を活用し始めます。
パートナー組織とそれらが管理する顧客組織は、同じマルチテナント HDS 展開上に存在します。
マルチテナント HDS が展開されると、パートナー組織はクラウド KMS を使用しなくなります。
- HDS のデプロイメント後にキーを Cloud KMS に戻すメカニズムはありません。
- 現在、各マルチテナント HDS デプロイメントには、その下に複数のノードを持つ 1 つのクラスターのみを含めることができます。
- 管理者ロールには一定の制限があります。詳細については、以下のセクションを参照してください。
マルチテナントハイブリッドデータセキュリティにおける役割
- パートナー完全管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
- パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
- 完全な管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限を持つパートナー組織の管理者。
- すべての顧客組織のエンドツーエンドのマルチテナント HDS セットアップと管理 - パートナーの完全な管理者権限と完全な管理者権限が必要です。
- 割り当てられたテナント組織の管理 - パートナー管理者および完全管理者の権限が必要です。
セキュリティ領域のアーキテクチャ
Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを個別の領域、つまり信頼ドメインに分離します。

ハイブリッド データ セキュリティをさらに理解するために、まず、シスコがクラウド領域ですべての機能を提供している純粋なクラウドのケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。
この図では、クライアントはユーザーのラップトップ上で実行されている Webex アプリであり、アイデンティティ サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:
-
クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
-
暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。
-
暗号化されたメッセージは、保管領域に保管されます。
ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス作成、コンプライアンス) がオンプレミスのデータ センターに移動します。Webex を構成するその他のクラウド サービス (ID およびコンテンツ ストレージを含む) は、引き続き Cisco の領域に残ります。
他の組織と協力する
組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者と共同作業を行う場合があります。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを Webex クラウドにルーティングし、適切な KMS からキーを取得して、元のチャネルでユーザーにキーを返します。

組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナント ハイブリッド データ セキュリティ展開で使用する x.509 証明書の生成の詳細については、 環境の準備 を参照してください。
ハイブリッド データ セキュリティの展開の例外
ハイブリッド データ セキュリティの導入には、多大なコミットメントと、暗号化キーの所有に伴うリスクに対する認識が必要です。
ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。
-
Cisco Webex Teams プランでサポートされている国の安全なデータ センター。
-
環境の準備に記載されている機器、ソフトウェア、およびネットワーク アクセス。
Hybrid Data Security 用に構築した構成 ISO または提供したデータベースのいずれかが完全に失われると、キーが失われます。キーを紛失すると、ユーザーは Webex アプリ内のスペース コンテンツやその他の暗号化されたデータを復号化できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:
-
データベースのバックアップと復元および構成 ISO を管理します。
-
データベース ディスク障害やデータ センターの災害などの大災害が発生した場合に迅速に災害復旧を実行できるように準備しておきます。
HDS の展開後にキーをクラウドに戻すメカニズムはありません。
高レベルのセットアッププロセス
このドキュメントでは、マルチテナント ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。
-
ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスターの構築、クラスターへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能のためにハイブリッド データ セキュリティ クラスターを使用できるようになります。
セットアップ、アクティベーション、および管理の各フェーズについては、次の 3 つの章で詳しく説明します。
-
ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは継続的なアップグレードを自動的に提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。パートナー ハブでは、画面上の通知を使用したり、電子メールベースのアラートを設定したりできます。
-
一般的なアラート、トラブルシューティングの手順、既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用中に問題が発生した場合、このガイドの最後の章と「既知の問題」の付録が問題を特定して解決するのに役立つ場合があります。
ハイブリッド データ セキュリティ展開モデル
エンタープライズ データ センター内では、Hybrid Data Security を個別の仮想ホスト上のノードの単一クラスターとして展開します。ノードは、セキュアな Web ソケットとセキュアな HTTP を介して Webex クラウドと通信します。
インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスターは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。(Syslogd とデータベース接続の詳細は、HDS セットアップ ツールで設定します。)

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つを推奨します。複数のノードを持つことで、ノード上のソフトウェアのアップグレードやその他のメンテナンス作業中にサービスが中断されることがなくなります。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)
クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。
ノードは、Partner Hub に登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。
災害復旧のためのスタンバイデータセンター
展開中に、安全なスタンバイ データ センターをセットアップします。データ センターで災害が発生した場合は、デプロイメントをスタンバイ データ センターに手動でフェールオーバーできます。

アクティブ データ センターとスタンバイ データ センターのデータベースは相互に同期されているため、フェイルオーバーの実行にかかる時間が最小限に抑えられます。
アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバーと同じデータ センターに存在する必要があります。
プロキシサポート
ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。
ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。
-
プロキシなし—HDSノードセットアップ信頼ストアを使用しない場合のデフォルト & プロキシを統合するためのプロキシ構成。証明書の更新は必要ありません。
-
透過的な非検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように構成されていないため、非検査プロキシで動作するために変更する必要はありません。証明書の更新は必要ありません。
-
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバ アドレスを使用するように構成されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
-
明示的プロキシ—明示的プロキシでは、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
-
プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。
-
プロキシ ポート—プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。
-
プロキシ プロトコル—プロキシ サーバーのサポート内容に応じて、次のプロトコルから選択します。
-
HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
-
HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
-
-
認証タイプ—次の認証タイプから選択します。
-
なし—これ以上の認証は必要ありません。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
-
基本—HTTP ユーザーエージェントがリクエスト時にユーザー名とパスワードを提供するために使用されます。Base64 エンコードを使用します。
プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。
各ノードにユーザー名とパスワードを入力する必要があります。
-
-
ハイブリッド データ セキュリティ ノードとプロキシの例
この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。
環境を準備する
マルチテナントハイブリッドデータセキュリティの要件
Cisco Webex ライセンス要件
マルチテナント ハイブリッド データ セキュリティを展開するには:
-
パートナー組織: Cisco パートナーまたはアカウント マネージャに連絡して、マルチテナント機能が有効になっていることを確認してください。
-
テナント組織: Cisco Webex Control Hub の Pro Pack が必要です。(https://www.cisco.com/go/pro-packを参照。)
Dockerデスクトップの要件
HDS ノードをインストールする前に、セットアップ プログラムを実行するために Docker Desktop が必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。
Docker Desktop ライセンスをお持ちでないお客様は、Podman Desktop などのオープンソース コンテナ管理ツールを使用して、コンテナを実行、管理、作成できます。詳細については、 Podman Desktop を使用して HDS セットアップ ツールを実行する を参照してください。
X.509 証明書要件
証明書チェーンは、次の条件を満たす必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、Mozilla リスト内の CA (WoSign と StartCom を除く) を https://wiki.mozilla.org/CA:IncludedCAsで信頼します。 |
|
CN は到達可能またはアクティブな主催者である必要はありません。組織を反映する名前(例: CNには、 * (ワイルドカード)。 CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスター内のすべてのハイブリッド データ セキュリティ ノードは同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。 この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。 |
|
KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。 |
|
OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。 |
KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。
仮想ホストの要件
クラスター内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。
-
少なくとも 2 台の独立したホスト (3 台を推奨) が同じ安全なデータ センター内に配置されている
-
VMware ESXi 7.0 または 8.0 がインストールされ、実行されています。
以前のバージョンの ESXi を使用している場合は、アップグレードする必要があります。
-
サーバーあたり最低 4 つの vCPU、8 GB のメイン メモリ、30 GB のローカル ハード ディスク容量
データベースサーバーの要件
キー保存用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。
データベース サーバーには 2 つのオプションがあります。それぞれの要件は次のとおりです。
PostgreSQL |
マイクロソフトSQLサーバー |
---|---|
|
|
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。) |
HDS ソフトウェアは現在、データベース サーバーとの通信用に次のドライバー バージョンをインストールします。
PostgreSQL |
マイクロソフトSQLサーバー |
---|---|
Postgres JDBC ドライバー 42.2.5 |
SQL Server JDBC ドライバー 4.6 このドライバー バージョンは、SQL Server Always On ( Always On フェールオーバー クラスター インスタンス および Always On 可用性グループ) をサポートしています。 |
Microsoft SQL Server に対する Windows 認証の追加要件
HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスするようにする場合は、環境で次の構成が必要です。
-
HDS ノード、Active Directory インフラストラクチャ、および MS SQL Server はすべて NTP と同期する必要があります。
-
HDSノードに提供するWindowsアカウントには、 read/write データベースへのアクセス。
-
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
-
Microsoft SQL Server 上の HDS データベース インスタンスを、Active Directory 上のサービス プリンシパル名 (SPN) として登録できます。 Kerberos 接続用のサービス プリンシパル名の登録を参照してください。
HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 構成の詳細を使用して SPN を構築します。
外部接続要件
HDS アプリケーションに対して次の接続を許可するようにファイアウォールを構成します。
アプリケーション |
プロトコル |
ポート |
アプリからの案内 |
移動先 |
---|---|---|---|---|
ハイブリッドデータセキュリティノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDSセットアップツール |
TCP |
443 |
アウトバウンド HTTPS |
|
ハイブリッド データ セキュリティ ノードは、ネットワーク アクセス変換 (NAT) またはファイアウォールの背後で動作します (ただし、NAT またはファイアウォールが、前の表のドメインの宛先への必要な送信接続を許可している必要があります)。ハイブリッド データ セキュリティ ノードへの受信接続の場合、インターネットからポートが見えないようにする必要があります。データ センター内では、クライアントは管理目的で TCP ポート 443 および 22 上のハイブリッド データ セキュリティ ノードにアクセスする必要があります。
Common Identity (CI) ホストの URL はリージョン固有です。現在の CI ホストは次のとおりです。
地域 |
共通アイデンティティホストURL |
---|---|
Americas(北米、南米エリア) |
|
欧州連合 |
|
カナダ |
|
シンガポール |
|
アラブ首長国連邦 |
|
プロキシ サーバーの要件
-
お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。
-
透過的プロキシ—Cisco Web Security Appliance (WSA)。
-
明示的プロキシ—Squid。
HTTPSトラフィックを検査するSquidプロキシは、WebSocketの確立を妨げる可能性がある。 (wss:) 接続。この問題を回避するには、 ハイブリッド データ セキュリティ用の Squid プロキシの構成を参照してください。
-
-
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS による認証がありません
-
HTTP または HTTPS による基本認証
-
HTTPS のみによるダイジェスト認証
-
-
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
-
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、
wbx2.com
およびciscospark.com
へのトラフィックをバイパスする(検査しない)と、問題は解決します。
ハイブリッド データ セキュリティの前提条件を満たします
1 |
パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーの完全な管理者と完全な管理者権限を持つアカウントの資格情報を取得します。Webex 顧客組織で Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。 顧客組織には既存の HDS 導入が存在しない必要があります。 |
2 |
HDS 展開のドメイン名 (たとえば、 |
3 |
クラスター内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホストの要件の要件を満たす、同じ安全なデータ センター内に少なくとも 2 台の個別のホスト (3 台を推奨) を配置する必要があります。 |
4 |
データベース サーバーの要件に従って、クラスターのキー データ ストアとして機能するデータベース サーバーを準備します。データベース サーバーは、仮想ホストと同じ安全なデータ センターに配置する必要があります。 |
5 |
迅速な災害復旧のために、別のデータセンターにバックアップ環境を構築します。バックアップ環境は、VM とバックアップ データベース サーバーの運用環境をミラーリングします。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。 |
6 |
Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。 |
7 |
ハイブリッド データ セキュリティ ノード、データベース サーバー、および syslog ホストの安全なバックアップ ポリシーを作成します。回復不可能なデータ損失を防ぐために、少なくとも、データベースと、Hybrid Data Security ノード用に生成された構成 ISO ファイルをバックアップする必要があります。 ハイブリッド データ セキュリティ ノードにはコンテンツの暗号化と復号化に使用されるキーが保存されるため、運用展開を維持できない場合は、そのコンテンツの 回復不可能な損失 が発生します。 Webex アプリ クライアントはキーをキャッシュするため、停止はすぐには気付かれないかもしれませんが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレーターは、データベースと構成 ISO ファイルのバックアップを頻繁に維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。 |
8 |
外部接続要件に概説されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードへの接続が許可されていることを確認します。 |
9 |
サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以上)を実行しているローカルマシンに、WebブラウザーでアクセスできるDocker( https://www.docker.comhttp://127.0.0.1:8080.)をインストールします。 Docker インスタンスを使用して HDS セットアップ ツールをダウンロードして実行し、すべてのハイブリッド データ セキュリティ ノードのローカル構成情報を構築します。Docker Desktop ライセンスが必要になる場合があります。詳細については、 Docker Desktop の要件 を参照してください。 HDS セットアップ ツールをインストールして実行するには、ローカル マシンが 外部接続要件に記載されている接続を備えている必要があります。 |
10 |
プロキシをハイブリッド データ セキュリティと統合する場合は、 プロキシ サーバー要件を満たしていることを確認してください。 |
ハイブリッドデータセキュリティクラスターをセットアップする
ハイブリッドデータセキュリティの導入タスクフロー
1 |
初期セットアップを実行し、インストールファイルをダウンロードします 後で使用するために、OVA ファイルをローカル マシンにダウンロードします。 |
2 |
HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。 |
3 |
OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期構成を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 および 8.0 でテストされています。このオプションは以前のバージョンでは利用できない可能性があります。 |
4 |
VM コンソールにサインインし、サインイン資格情報を設定します。OVA の展開時に構成しなかった場合は、ノードのネットワーク設定を構成します。 |
5 |
HDS セットアップ ツールで作成した ISO 構成ファイルから VM を構成します。 |
6 |
ネットワーク環境でプロキシ構成が必要な場合は、ノードに使用するプロキシの種類を指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。 |
7 |
VM をハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに登録します。 |
8 |
クラスターのセットアップを完了します。 |
9 |
パートナー ハブでマルチテナント HDS をアクティブ化します。 HDS をアクティブ化し、Partner Hub でテナント組織を管理します。 |
初期セットアップを実行し、インストールファイルをダウンロードします
このタスクでは、OVA ファイルを自分のマシンにダウンロードします (Hybrid Data Security ノードとして設定したサーバーにはダウンロードしません)。このファイルはのちにインストール プロセスで使用します。
1 |
パートナー ハブにサインインし、 サービスをクリックします。 |
2 |
[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、 セットアップをクリックします。 パートナー ハブで セットアップ をクリックすることは、展開プロセスにとって重要です。この手順を完了せずにインストールを続行しないでください。 |
3 |
リソースの追加 をクリックし、 ソフトウェアのインストールと構成 カードの [] .OVA ファイルのダウンロードをクリックします。 ソフトウェア パッケージ (OVA) の古いバージョンは、最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。必ず最新バージョンの OVA ファイルをダウンロードしてください。 また、 ヘルプ セクションからいつでも OVA をダウンロードできます。 をダウンロードします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
|
4 |
必要に応じて、 ハイブリッド データ セキュリティ展開ガイドを参照 をクリックして、このガイドの新しいバージョンがあるかどうかを確認します。 |
HDS 主催者に構成 ISO を作成する
ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
Docker Desktop ライセンスがない場合は、以下の手順のステップ 1 ~ 5 で、Podman Desktop を使用して HDS セットアップ ツールを実行できます。詳細については、 Podman Desktop を使用して HDS セットアップ ツールを実行する を参照してください。
HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、以下の手順 5 で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
-
データベース資格情報
-
証明書の更新
-
承認ポリシーの変更
-
-
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 | ||||||||||
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 | ||||||||||
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 | ||||||||||
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: | ||||||||||
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 | ||||||||||
6 |
セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。 Web ブラウザを使用してローカルホスト ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインイン プロンプトを表示します。 | ||||||||||
7 |
プロンプトが表示されたら、パートナー ハブ管理者のサインイン資格情報を入力し、 ログイン をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 | ||||||||||
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 | ||||||||||
9 |
ISO インポート ページには、次のオプションがあります。
| ||||||||||
10 |
X.509 証明書が X.509 証明書の要件の要件を満たしていることを確認します。
| ||||||||||
11 |
HDS がキー データストアにアクセスするためのデータベース アドレスとアカウントを入力します。 | ||||||||||
12 |
TLSデータベース接続モードを選択 :
ルート証明書をアップロードし(必要な場合) をクリックすると、HDS セットアップ ツールはデータベース サーバーへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンで正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる可能性があります。) | ||||||||||
13 |
システム ログ ページで、Syslogd サーバーを構成します。 | ||||||||||
14 |
(オプション) 詳細設定で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、変更する必要があるのは次のパラメータだけです。 | ||||||||||
15 |
サービス アカウントのパスワードのリセット 画面で 続行 をクリックします。 サービス アカウントのパスワードの有効期間は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用します。 | ||||||||||
16 |
[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。 | ||||||||||
17 |
ローカル システムに ISO ファイルのバックアップ コピーを作成します。 バックアップコピーを安全に保管してください。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。構成の変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 | ||||||||||
18 |
セットアップ ツールをシャットダウンするには、 |
次に行うこと
構成 ISO ファイルをバックアップします。リカバリ用にさらにノードを作成したり、構成を変更したりするには、これが必要です。ISO ファイルのすべてのコピーを失った場合、マスター キーも失われます。PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。
当社はこのキーのコピーを保有しておりませんので、紛失された場合はサポートできません。
HDS 主催者 OVA をインストールする
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。 |
2 |
ファイル > OVF テンプレートを展開を選択します。 |
3 |
ウィザードで、先ほどダウンロードした OVA ファイルの場所を指定し、 次へをクリックします。 |
4 |
名前とフォルダの選択 ページで、ノードの 仮想マシン名 (たとえば、「HDS_Node_1」) を入力し、仮想マシン ノードの展開を配置できる場所を選択して、 次へをクリックします。 |
5 |
コンピューティング リソースの選択 ページで、宛先コンピューティング リソースを選択し、 次へをクリックします。 検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。 |
6 |
テンプレートの詳細を確認し、 次へをクリックします。 |
7 |
構成 ページでリソース構成を選択するように求められた場合は、 4 CPU をクリックし、 次へをクリックします。 |
8 |
ストレージの選択 ページで 次へ をクリックして、デフォルトのディスク フォーマットと VM ストレージ ポリシーを受け入れます。 |
9 |
ネットワークの選択 ページで、エントリのリストからネットワーク オプションを選択し、VM に必要な接続を提供します。 |
10 |
テンプレートのカスタマイズ ページで、次のネットワーク設定を構成します。
必要に応じて、ネットワーク設定の構成をスキップし、 ハイブリッド データ セキュリティ VM のセットアップ の手順に従って、ノード コンソールから設定を構成することもできます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 および 8.0 でテストされています。このオプションは以前のバージョンでは利用できない可能性があります。 |
11 |
ノードVMを右クリックし、 .ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを構成する準備が整いました。 トラブルシューティングのヒント ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。 |
ハイブリッド データ セキュリティ VM のセットアップ
この手順を使用して、Hybrid Data Security ノードの VM コンソールに初めてサインインし、サインイン資格情報を設定します。OVA の展開時にノードのネットワーク設定を構成しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。
1 |
VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
|
2 |
以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。 |
3 |
HDS ホスト OVA のインストールでネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップしてください。それ以外の場合は、メイン メニューで 構成の編集 オプションを選択します。 |
4 |
性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCPはサポートされていません。 |
5 |
(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。 ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。 |
6 |
変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。 |
HDS 構成 ISO をアップロードしマウントする
開始する前に
ISO ファイルにはマスター キーが保持されるため、Hybrid Data Security VM および変更を加える必要がある可能性のある管理者がアクセスできるように、必要な場合にのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。
1 |
コンピュータから ISO ファイルをダウンロードします: |
2 |
ISO ファイルのマウント: |
次に行うこと
IT ポリシーで必要な場合は、すべてのノードが構成の変更を取得した後、必要に応じて ISO ファイルをマウント解除できます。詳細については、 (オプション) HDS 構成後の ISO のアンマウント を参照してください。
プロキシ統合のために HDS ノードを設定する
ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。
開始する前に
-
サポートされているプロキシ オプションの概要については、 プロキシ サポート を参照してください。
1 |
Web ブラウザに HDS ノード セットアップ URL |
2 |
[信頼ストアとロキシ] に移動して、次のオプションを選択します。
透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。 |
3 |
[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。 証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。 |
4 |
[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。 接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、次の手順を完了し、 ブロックされた外部 DNS 解決モードをオフにするを参照してください。 |
5 |
接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。 |
6 |
[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。 ノードが数分以内に再起動されます。 |
7 |
ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。 プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。 |
クラスターの最初のノードを登録する
最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップ ブロッカーが無効になっているか、admin.webex.com に対して例外を許可していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
クラウド サービス セクションで、ハイブリッド データ セキュリティ カードを見つけて、 セットアップをクリックします。 |
4 |
開いたページで、 リソースの追加をクリックします。 |
5 |
ノードの追加 カードの最初のフィールドに、Hybrid Data Security ノードを割り当てるクラスターの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」、「ニューヨーク」、「ダラス」 |
6 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部の 追加 をクリックします。 この IP アドレスまたは FQDN は、 ハイブリッド データ セキュリティ VM のセットアップで使用した IP アドレスまたはホスト名およびドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
7 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。ここで、Webex 組織にノードにアクセスする権限を与えることを確認します。 |
8 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。
|
9 |
リンクをクリックするかタブを閉じると、パートナー ハブのハイブリッド データ セキュリティ ページに戻ります。 ハイブリッド データ セキュリティ ページで、登録したノードを含む新しいクラスターが リソース タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
追加のノードを作成して登録する
開始する前に
-
一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
-
ブラウザのポップアップ ブロッカーが無効になっているか、admin.webex.com に対して例外を許可していることを確認します。
1 |
HDS ホスト OVA のインストールの手順を繰り返して、OVA から新しい仮想マシンを作成します。 |
2 |
Hybrid Data Security VM のセットアップの手順を繰り返して、新しい VM で初期構成をセットアップします。 |
3 |
新しい VM で、 HDS 構成 ISO のアップロードとマウントの手順を繰り返します。 |
4 |
デプロイメントにプロキシを設定する場合は、新しいノードの必要に応じて、 プロキシ統合用の HDS ノードの構成 の手順を繰り返します。 |
5 |
ノードを登録します。 |
マルチテナント ハイブリッド データ セキュリティでテナント組織を管理する
パートナーハブでマルチテナント HDS を有効化する
このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。
開始する前に
必要な数のノードでマルチテナント HDS クラスターのセットアップが完了していることを確認します。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけて、 設定の編集] をクリックします。 |
4 |
HDS ステータス カードの HDS のアクティブ化 をクリックします。 |
パートナー ハブでテナント組織を追加する
このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスターに割り当てます。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、Hybrid Data Security を見つけて、 [すべて表示]をクリックします。 |
4 |
顧客を割り当てるクラスターをクリックします。 |
5 |
割り当てられた顧客 タブに移動します。 |
6 |
顧客を追加をクリックします。 |
7 |
ドロップダウン メニューから追加する顧客を選択します。 |
8 |
追加をクリックすると、顧客がクラスターに追加されます。 |
9 |
手順 6 ~ 8 を繰り返して、複数の顧客をクラスターに追加します。 |
10 |
顧客を追加したら、画面下部の 完了 をクリックします。 |
次に行うこと
HDS セットアップ ツールを使用して顧客メイン キー (CMK) を作成する
開始する前に
パートナー ハブでのテナント組織の追加の説明に従って、顧客を適切なクラスターに割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織の完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、手順 5で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
-
データベース資格情報
-
証明書の更新
-
承認ポリシーの変更
-
-
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。
ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。 Web ブラウザを使用してローカルホスト ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインイン プロンプトを表示します。 |
7 |
プロンプトが表示されたら、パートナー ハブ管理者のサインイン資格情報を入力し、 ログイン をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
ISO インポート ページで、 はいをクリックします。 |
10 |
ブラウザで ISO ファイルを選択し、アップロードします。 CMK 管理を実行するには、データベースへの接続を確保します。 |
11 |
テナント CMK 管理 タブに移動すると、テナント CMK を管理する次の 3 つの方法が表示されます。
|
12 |
CMK の作成が成功すると、テーブル内のステータスが CMK 管理保留中 から CMK 管理対象に変わります。 |
13 |
CMK の作成に失敗した場合は、エラーが表示されます。 |
テナント組織を削除する
開始する前に
削除されると、顧客組織のユーザーは暗号化のニーズに HDS を活用できなくなり、既存のスペースがすべて失われます。顧客組織を削除する前に、Cisco パートナーまたはアカウント マネージャにお問い合わせください。
1 |
https://admin.webex.comにサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
[クラウド サービス] セクションで、Hybrid Data Security を見つけて、 [すべて表示]をクリックします。 |
4 |
リソース タブで、顧客組織を削除するクラスターをクリックします。 |
5 |
開いたページで、 割り当てられた顧客をクリックします。 |
6 |
表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、 クラスターから削除をクリックします。 |
次に行うこと
HDS から削除されたテナントの CMK を取り消すに詳述されているように、顧客組織の CMK を取り消すことで削除プロセスを完了します。
HDS から削除されたテナントの CMK を取り消します。
開始する前に
テナント組織の削除の説明に従って、適切なクラスターから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織の完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、手順 5で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
-
データベース資格情報
-
証明書の更新
-
承認ポリシーの変更
-
-
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。
ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
6 |
セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。 Web ブラウザを使用してローカルホスト ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインイン プロンプトを表示します。 |
7 |
プロンプトが表示されたら、パートナー ハブ管理者のサインイン資格情報を入力し、 ログイン をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。 |
8 |
セットアップ ツール概要ページで、[開始] をクリックします。 |
9 |
ISO インポート ページで、 はいをクリックします。 |
10 |
ブラウザで ISO ファイルを選択し、アップロードします。 |
11 |
テナント CMK 管理 タブに移動すると、テナント CMK を管理する次の 3 つの方法が表示されます。
|
12 |
CMK の失効が成功すると、顧客組織はテーブルに表示されなくなります。 |
13 |
CMK の失効が失敗した場合、エラーが表示されます。 |
ハイブリッド データ セキュリティの展開をテストする
ハイブリッド データ セキュリティ展開
開始する前に
-
マルチテナント ハイブリッド データ セキュリティの展開をセットアップします。
-
キー要求がマルチテナント ハイブリッド データ セキュリティ展開に渡されていることを確認するには、syslog にアクセスできることを確認します。
1 |
与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。 ハイブリッド データ セキュリティの展開を非アクティブ化すると、暗号化キーのクライアント キャッシュ コピーが置き換えられると、ユーザーが作成したスペース内のコンテンツにアクセスできなくなります。 |
2 |
メッセージを新しいスペースに送信します。 |
3 |
Syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。 新しく追加された顧客組織のユーザーが何らかのアクションを実行すると、その組織の組織 ID がログに表示され、これを使用して組織がマルチテナント HDS を活用していることを確認できます。syslog 内の |
ハイブリッド データ セキュリティの正常性のモニター
1 |
パートナーハブで、画面左側のメニューから サービス を選択します。 |
2 |
[クラウド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけて、 設定の編集] をクリックします。 ハイブリッド データ セキュリティ設定のページが表示されます。
|
3 |
[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。 |
HDSの導入を管理する
HDS 展開の管理
ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。
クラスターのアップグレード スケジュール
アップグレードのスケジュールを設定するには、次の操作を行います。
1 |
Partner Hub にサインインします。 |
2 |
スクリーンの左側にあるメニューからサービスを選択します。 |
3 |
クラウドサービスセクションで、ハイブリッドデータセキュリティを見つけて セットアップをクリックします。 |
4 |
[ハイブリッド データ セキュリティ リソース] ページで、クラスターを選択します。 |
5 |
クラスター設定 タブをクリックします。 |
6 |
[クラスター設定] ページの [アップグレード スケジュール] で、アップグレード スケジュールの時刻とタイム ゾーンを選択します。 注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、 24 時間延期をクリックして、アップグレードを翌日に延期することができます。 |
ノードの構成を変更する
-
有効期限が切れる、または他の理由による、x.509 証明書の変更。
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
-
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。
PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。
-
新しい構成を作成して新しいデータセンターの準備をする。
また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:
-
ソフト リセット—古いパスワードと新しいパスワードはどちらも最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
-
ハードリセット—古いパスワードは直ちに使用できなくなります。
パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。
この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。
始める前に
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーの完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。
Docker Desktop ライセンスがない場合は、以下の手順のステップ 1.a から 1.e まで、Podman Desktop を使用して HDS セットアップ ツールを実行できます。詳細については、 Podman Desktop を使用して HDS セットアップ ツールを実行する を参照してください。
HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、 1.eで Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。
1 |
ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。 |
2 |
実行中の HDS ノードが 1 つだけの場合は、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細な手順については、 追加のノードを作成して登録するを参照してください。 |
3 |
古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。 |
4 |
ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。 |
外部 DNS 解決ブロックモードをオフにする
ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。
ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。
開始する前に
1 |
ウェブブラウザで、ハイブリッド データ セキュリティ ノード インターフェース (IP address/setup, たとえば、 https://192.0.2.0/setup), ノードに設定した管理者の資格情報を入力し、 サインインをクリックします。 |
2 |
[概要] (デフォルトページ) に移動します。 ![]() 有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。 |
3 |
[信頼ストアとプロキシ] ページに移動します。 |
4 |
[プロキシ接続を確認する] をクリックします。 外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。 |
次に行うこと
ノードの削除
1 |
コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。 |
2 |
ノードの削除: |
3 |
vSphere クライアントで、VM を削除します。(左側のナビゲーション ペインで、VM を右クリックし、 削除をクリックします。) VM を削除しない場合は、構成 ISO ファイルを必ずアンマウントしてください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスできません。 |
スタンバイデータセンターを使用した災害復旧
ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されるメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。組織内でハイブリッド データ セキュリティに割り当てられているユーザーごとに、新しいキー作成リクエストがクラスターにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。
クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO が失われると、顧客コンテンツが回復不能に失われます。損失などを防ぐためには、以下のプラクティスが必須です:
災害によりプライマリ データ センターの HDS 展開が利用できなくなった場合は、次の手順に従ってスタンバイ データ センターに手動でフェイルオーバーします。
開始する前に
1 |
HDS セットアップ ツールを起動し、 HDS ホストの構成 ISO を作成するに記載されている手順に従います。 |
2 |
構成プロセスを完了し、ISO ファイルを見つけやすい場所に保存します。 |
3 |
ローカル システムに ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保管してください。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。構成の変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。 |
4 |
VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 |
5 |
設定の編集をクリック >CD/DVD ドライブ1 を選択し、データストアISOファイルを選択します。 更新された構成の変更がノードの起動後に有効になるように、 接続済み および 電源投入時に接続 がチェックされていることを確認してください。 |
6 |
HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。 |
7 |
パートナー ハブにノードを登録します。参照 クラスター内の最初のノードを登録します。 |
8 |
スタンバイ データ センター内のすべてのノードに対してこのプロセスを繰り返します。 |
次に行うこと
(オプション) HDS 構成後に ISO をアンマウントする
標準の HDS 構成は、ISO がマウントされた状態で実行されます。しかし、ISO ファイルを継続的にマウントしたままにしないことを希望する顧客もいます。すべての HDS ノードが新しい構成を取得した後、ISO ファイルをアンマウントできます。
構成の変更には引き続き ISO ファイルを使用します。セットアップ ツールを使用して新しい ISO を作成したり、ISO を更新したりする場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが構成の変更を取得したら、この手順で ISO を再度アンマウントできます。
開始する前に
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
1 |
HDS ノードの 1 つをシャットダウンします。 |
2 |
vCenter Server Appliance で、HDS ノードを選択します。 |
3 |
データストアISOファイルのチェックを外します。 を選択し、 |
4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
5 |
各 HDS ノードに対して順番に繰り返します。 |
ハイブリッド データ セキュリティのトラブルシューティング
アラートを表示してトラブルシューティングする
クラスター内のすべてのノードに到達できない場合、またはクラスターの動作が遅すぎて要求がタイムアウトになった場合、ハイブリッド データ セキュリティの展開は使用できないとみなされます。ユーザーがハイブリッド データ セキュリティ クラスターにアクセスできない場合は、次の症状が発生します。
-
新しいスペースが作成できない (新しいキーを作成できない)
-
メッセージとスペースのタイトルを暗号解除できない:
-
新しいユーザーをスペースに追加する (キーを取得できない)
-
新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
-
-
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します
サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスターを適切に監視し、アラートに速やかに対処することが重要です。
警告
ハイブリッド データ セキュリティの設定に問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成された電子メール アドレスに電子メールを送信します。アラートでは多くに共通するシナリオを説明しています。
警告 |
アクション |
---|---|
ローカル データべースへのアクセスに失敗しました。 |
データベースのエラーかローカル ネットワークの問題をチェックしてください。 |
ローカル データベースの接続に失敗しました。 |
データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。 |
クラウド サービスへのアクセスに失敗しました。 |
外部接続要件で指定されているとおりにノードが Webex サーバーにアクセスできることを確認します。 |
クラウド サービスの登録を更新します。 |
クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。 |
クラウド サービスの登録に失敗しました。 |
クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。 |
サービスがアクティベートされていません。 |
パートナー ハブで HDS をアクティブ化します。 |
構成されたドメインはサーバー証明書に一致しません。 |
サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。 もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。 |
クラウド サービスへの認証に失敗しました。 |
正確性とサービス アカウント証明書の期限切れの可能性をチェックします。 |
ローカル キーストア ファイルを開くことに失敗しました。 |
ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。 |
ローカル サーバー証明書が無効です。 |
サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。 |
メトリクスを投稿できません。 |
外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。 |
/media/configdrive/hds ディレクトリは存在しません。 |
仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。 |
追加された組織のテナント組織設定が完了していません |
HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成し、セットアップを完了します。 |
削除された組織のテナント組織セットアップが完了していません |
HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消して、セットアップを完了します。 |
ハイブリッド データ セキュリティのトラブルシューティング
1 |
パートナー ハブでアラートを確認し、見つかった項目を修正します。下の画像を参考にしてください。 |
2 |
ハイブリッド データ セキュリティ展開からのアクティビティについて、Syslog サーバーの出力を確認します。トラブルシューティングに役立つように、「警告」や「エラー」などの単語をフィルタリングします。 |
3 |
Cisco サポートに連絡します。 |
その他の注意事項
ハイブリッド データ セキュリティ に関する既知の問題
-
ハイブリッド データ セキュリティ クラスターをシャットダウンした場合 (パートナー ハブで削除するか、すべてのノードをシャットダウンすることによって)、構成 ISO ファイルが失われた場合、またはキーストア データベースにアクセスできなくなった場合、顧客組織の Webex アプリ ユーザーは、KMS からのキーを使用して作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
-
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。
Podman Desktop を使用して HDS セットアップ ツールを実行する
Podman は、コンテナを実行、管理、作成する方法を提供する、無料のオープンソース コンテナ管理ツールです。Podman Desktopは https://podman-desktop.io/downloadsからダウンロードできます。
-
HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンに Podman をダウンロードして実行します。セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。
HDS セットアップ ツールが環境内のプロキシの背後で実行される場合は、手順 5 で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。
説明
変数
認証なしの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
認証なしの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
認証ありの HTTP プロキシ
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
認証ありの HTTPS プロキシ
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
-
データベース資格情報
-
証明書の更新
-
承認ポリシーの変更
-
-
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。
ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。
1 |
マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。 一般環境: FedRAMP 環境の場合: このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 |
2 |
Docker 画像レジストリにサインインするには、以下を入力します。 |
3 |
パスワードのプロンプトに対して、このハッシュを入力します。 |
4 |
お使い環境に合った最新の安定した画像をダウンロードします。 一般環境: FedRAMP 環境の場合: |
5 |
プルが完了したら、お使いの環境に適切なコマンドを入力します。
コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。 |
次に行うこと
コントロール ハブ内のパートナー組織の既存のシングルテナント HDS 展開を、パートナー ハブのマルチテナント HDS セットアップに移動します。
Control Hub で管理されているパートナー組織の既存のシングルテナント HDS 展開から、Partner Hub で管理されているマルチテナント HDS 展開への変換には、主に、Control Hub での HDS サービスの非アクティブ化、ノードの登録解除、およびクラスターの削除が含まれます。その後、パートナー ハブにログインし、ノードを登録し、マルチテナント HDS をアクティブ化し、顧客をクラスターに追加できます。
「シングルテナント」という用語は、Control Hub 内の既存の HDS 展開を指します。
コントロールハブでHDSを非アクティブ化し、ノードを登録解除し、クラスターを削除します
1 |
コントロールハブにログインします。左側のペインで、 ハイブリッドをクリックします。ハイブリッド データ セキュリティ カードで、 [設定の編集] をクリックします。 |
2 |
設定ページで、「非アクティブ化」セクションまで下にスクロールし、 「非アクティブ化」をクリックします。 |
3 |
非アクティブ化後、 リソース タブをクリックします。 |
4 |
リソース ページには、HDS デプロイメント内のクラスターが一覧表示されます。クラスターをクリックすると、そのクラスターの下にあるすべてのノードを含むページが開きます。 |
5 |
右側の ... をクリックし、 ノードの登録解除をクリックします。クラスター内のすべてのノードに対してこのプロセスを繰り返します。 |
6 |
デプロイメントに複数のクラスターがある場合は、すべてのノードが登録解除されるまで手順 4 と手順 5 を繰り返します。 |
7 |
クラスタ設定をクリック > 取り除く。 |
8 |
クラスターの登録を解除するには、 削除の確認 をクリックします。 |
9 |
HDS 展開内のすべてのクラスターに対してこのプロセスを繰り返します。 HDS の非アクティブ化、ノードの登録解除、クラスターの削除後、Control Hub のハイブリッド データ サービス カードの下部に セットアップが完了していません と表示されます。 |
パートナーハブでパートナー組織のマルチテナント HDS をアクティブ化し、顧客を追加します。
開始する前に
マルチテナント ハイブリッド データ セキュリティの要件 に記載されているすべての前提条件がここで適用されます。さらに、マルチテナント HDS への移行中に同じデータベースと証明書が使用されるようにしてください。
1 |
パートナー ハブにログインします。左ペインの サービス をクリックします。 以前の HDS デプロイメントと同じ ISO を使用してノードを構成します。これにより、以前の既存の HDS 展開でユーザーによって生成されたメッセージとコンテンツに、新しいマルチテナント設定でも引き続きアクセスできるようになります。 |
2 |
クラウド サービス セクションで、ハイブリッド データ セキュリティ カードを見つけて、 セットアップをクリックします。 |
3 |
開いたページで、 リソースの追加をクリックします。 |
4 |
ノードの追加 カードの最初のフィールドに、Hybrid Data Security ノードを割り当てるクラスターの名前を入力します。 クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」、「ニューヨーク」、「ダラス」 |
5 |
2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部の 追加 をクリックします。 この IP アドレスまたは FQDN は、 ハイブリッド データ セキュリティ VM のセットアップで使用した IP アドレスまたはホスト名およびドメインと一致する必要があります。 ノードを Webex に登録できることを示すメッセージが表示されます。
|
6 |
[ノードに進む] をクリックします。 しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。ここで、Webex 組織にノードにアクセスする権限を与えることを確認します。 |
7 |
[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。 アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。 ハイブリッド データ セキュリティ ページで、登録したノードを含む新しいクラスターが リソース タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
|
8 |
設定 タブに移動し、HDS ステータス カードの アクティブ化 をクリックします。 HDS がアクティブ化されました というメッセージが画面下部に表示されます。
|
9 |
リソースで、新しく作成されたクラスターをクリックします。 |
10 |
開いたページで、 割り当てられた顧客 タブをクリックします。 |
11 |
顧客を追加をクリックします。 |
12 |
ドロップダウン メニューから追加する顧客を選択します。 |
13 |
追加をクリックすると、顧客がクラスターに追加されます。 |
14 |
手順 11 ~ 13 を繰り返して、複数の顧客をクラスターに追加します。 |
15 |
顧客を追加したら、画面下部の 完了 をクリックします。 |
次に行うこと
OpenSSL を使用して PKCS12 ファイルを生成する
開始する前に
-
OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
-
OpenSSL を使用する場合は、 X.509 証明書の要件に記載されている X.509 証明書の要件を満たすファイルを作成するためのガイドラインとして、この手順が提供されています。続行する前にそれらの要件を理解します。
-
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
-
秘密鍵を作成します。
-
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。
1 |
CA からサーバー証明書を受け取ったら、 |
2 |
テキストとして 証明書 を表示し、詳細を検証します:
|
3 |
テキスト エディターを使用して、
|
4 |
フレンドリ名
|
5 |
サーバー証明書の詳細をチェックします。 |
次に行うこと
に戻り、ハイブリッド データ セキュリティの前提条件を完了します。 hdsnode.p12
ファイルとそれに設定したパスワードは、 HDS ホストの構成 ISO を作成するで使用します。
元の証明書の有効期限が切れたときに、これらのファイルを再利用して新しい証明書を要求できます。
HDS ノードおよびクラウド間のトラフィック
アウトバウンド メトリクス コレクション トラフィック
ハイブリッド データ セキュリティ ノードは、特定のメトリックを Webex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。
インバウンド トラフィック
ハイブリッド データ セキュリティ ノードは、Webex クラウドから次の種類の受信トラフィックを受信します。
-
暗号サービスからルートされたクライアントからの暗号化リクエスト
-
ノード ソフトウェアへのアップグレード
ハイブリッド データ セキュリティの Squid プロキシを設定する
Websocket は Squid プロキシを通じて接続できません
HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティに必要な Websocket (wss:
) 接続の確立を妨げる可能性があります。これらのセクションでは、サービスが適切に動作するために wss:
トラフィックを無視するようにさまざまなバージョンの Squid を構成する方法について説明します。
Squid 4 および5
on_unsupported_protocol
ディレクティブを squid.conf
に追加する :
on_unsupported_protocol tunnel all
Squid 3.5.27
squid.conf
に次のルールを追加して、ハイブリッド データ セキュリティを正常にテストしました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all