この記事の内容
dropdown icon
新規および変更された情報
    新規および変更された情報
dropdown icon
マルチテナントハイブリッドデータセキュリティを始める
    dropdown icon
    マルチテナントハイブリッドデータセキュリティの概要
      マルチテナントハイブリッドデータセキュリティがデータ主権とデータ制御を提供する仕組み
      マルチテナントハイブリッドデータセキュリティの限界
      マルチテナントハイブリッドデータセキュリティにおける役割
    dropdown icon
    セキュリティ領域のアーキテクチャ
      分離の領域(ハイブリッド データ セキュリティなし)
    他の組織と協力する
    ハイブリッド データ セキュリティの展開の例外
    高レベルのセットアッププロセス
    dropdown icon
    ハイブリッド データ セキュリティ展開モデル
      ハイブリッド データ セキュリティ展開モデル
    dropdown icon
    災害復旧のためのスタンバイデータセンター
      スタンバイデータセンターへの手動フェイルオーバー
    プロキシサポート
dropdown icon
環境を準備する
    dropdown icon
    マルチテナントハイブリッドデータセキュリティの要件
      Cisco Webex ライセンス要件
      Dockerデスクトップの要件
      X.509 証明書要件
      仮想ホストの要件
      データベースサーバーの要件
      外部接続要件
      プロキシ サーバーの要件
    ハイブリッド データ セキュリティの前提条件を満たします
dropdown icon
ハイブリッドデータセキュリティクラスターをセットアップする
    ハイブリッドデータセキュリティ導入タスクフロー
    初期セットアップを実行し、インストールファイルをダウンロードします
    HDS 主催者に構成 ISO を作成する
    HDS 主催者 OVA をインストールする
    ハイブリッド データ セキュリティ VM のセットアップ
    HDS 構成 ISO をアップロードしマウントする
    プロキシ統合のために HDS ノードを設定する
    クラスターの最初のノードを登録する
    追加のノードを作成して登録する
dropdown icon
マルチテナント ハイブリッド データ セキュリティでテナント組織を管理する
    パートナーハブでマルチテナント HDS を有効化する
    パートナー ハブでテナント組織を追加する
    HDS セットアップ ツールを使用して顧客メイン キー (CMK) を作成する
    テナント組織を削除する
    HDS から削除されたテナントの CMK を取り消します。
dropdown icon
ハイブリッド データ セキュリティの展開をテストする
    ハイブリッド データ セキュリティ展開
    ハイブリッド データ セキュリティの正常性のモニター
dropdown icon
HDSの導入を管理する
    HDS 展開の管理
    クラスターのアップグレード スケジュール
    ノードの構成を変更する
    外部 DNS 解決ブロックモードをオフにする
    ノードの削除
    スタンバイデータセンターを使用した災害復旧
    (オプション) HDS 構成後に ISO をアンマウントする
dropdown icon
ハイブリッド データ セキュリティのトラブルシューティング
    アラートを表示してトラブルシューティングする
    dropdown icon
    警告
      共通の問題と解決ステップ
    ハイブリッド データ セキュリティのトラブルシューティング
dropdown icon
その他の注意事項
    ハイブリッド データ セキュリティ に関する既知の問題
    Podman Desktop を使用して HDS セットアップ ツールを実行する
    dropdown icon
    コントロール ハブ内のパートナー組織の既存のシングルテナント HDS 展開を、パートナー ハブのマルチテナント HDS セットアップに移動します。
      コントロールハブでHDSを非アクティブ化し、ノードを登録解除し、クラスターを削除します
      パートナーハブでパートナー組織のマルチテナント HDS をアクティブ化し、顧客を追加します。
    OpenSSL を使用して PKCS12 ファイルを生成する
    HDS ノードおよびクラウド間のトラフィック
    dropdown icon
    ハイブリッド データ セキュリティの Squid プロキシを設定する
      Websocket は Squid プロキシを通じて接続できません
dropdown icon
マルチテナントハイブリッドデータセキュリティを無効にする
    マルチテナント HDS 非アクティブ化タスクフロー

マルチテナント ハイブリッド データ セキュリティ (HDS) の導入ガイド (ベータ版)

list-menuこの記事の内容
list-menuフィードバックがある場合

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2024 年 12 月 13 日

最初のリリース。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 1 月 15 日

マルチテナントハイブリッド データ セキュリティの制限を追加しました。

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティの制限

  • パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
  • パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
  • パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

    管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

    マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。

  • HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
  • 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
  • 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 1 月 30 日

データベース サーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。

2025 年 1 月 15 日

マルチテナントハイブリッド データ セキュリティの制限を追加しました。

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティの制限

  • パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
  • パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
  • パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

    管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

    マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。

  • HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
  • 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
  • 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、2019、または 2022 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 1 月 30 日

データベース サーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。

2025 年 1 月 15 日

マルチテナントハイブリッド データ セキュリティの制限を追加しました。

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティの制限

  • パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
  • パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
  • パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

    管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

    マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。

  • HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
  • 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
  • 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。たとえば など、組織を反映する名前を使用することを推奨します。

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • Kms-private-key の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、2019、または 2022 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例: hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン:管理者

  2. パスワード:cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. [CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

HDS ノードセットアップ URL https://[HDS Node IP or FQDN]/setup を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート

    認証ありの HTTP プロキシ

    グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    ドッカーログイン -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    ドッカー プル ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    ドッカー プル ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、[CTRL+C] と入力します。

  10. 別のデータ センターで、更新されたファイルのバックアップ コピーを作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. [CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取るとき、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem という名前の証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----

4

kms-private-key という友好的な名前で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行friendlyName: Kms-private-key を含むことに検証します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性:  PEM パスフレーズを入力: 検証中 - PEM パス フレーズを入力します: -----BEGIN 暗号化秘密キー-----  -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE------

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明してい ます。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッド データ セキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付

変更を行いました

2025 年 3 月 4 日

2025 年 1 月 30 日

データベース サーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。

2025 年 1 月 15 日

マルチテナントハイブリッド データ セキュリティの制限を追加しました。

2025 年 1 月 8 日

初期セットアップを実行し、インストール ファイルをダウンロードする 」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストール プロセスの重要なステップであることを示すメモを追加しました。

2025 年 1 月 7 日

仮想ホスト要件」、「ハイブリッド データ セキュリティ展開タスク フロー」、「HDS ホスト OVA のインストール 」を更新し、ESXi 7.0 の新しい要件を表示します。

2024 年 12 月 13 日

初公開。

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。
1

テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。

3

ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。

  • 削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。
  • [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5

ハイブリッド データ セキュリティの概要ページの [設定] タブをクリックし、HDS ステータス カードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

Webex アプリの設計では、1 日目以降、データ セキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミック キーを使用してエンドツーエンドの暗号化を取得します。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッド データ セキュリティ により、組織はサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できる信頼できるローカル パートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザー データを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカル パートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合、ローカルテクニカルサポートのオプション。
  • ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッド データ セキュリティ システムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッド データ セキュリティの制限

  • パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
  • パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
  • パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

    管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

    マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。

  • HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
  • 現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
  • 管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッド データ セキュリティのロール

  • パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウド ケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミス データ センターに移動します。Webex を構成するその他のクラウド サービス (ID とコンテンツ ストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッド データ セキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

ハイブリッド データ セキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペース コンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアップ プロセス

このドキュメントでは、マルチテナントのハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

    セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。

  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッド データ セキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内で、ハイブリッド データ セキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップ ツールで Syslogd とデータベース接続の詳細を設定します)。

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェア アップグレードやその他のメンテナンス アクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、パートナー ハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイ データベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイ モードになっています。
スタンバイデータセンターへの手動フェールオーバー

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。

  • 透過的な検査なしのプロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。

  • 透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ: 明示的プロキシを使用して、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル: プロキシ サーバーがサポートしているものに応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

Docker デスクトップ ライセンスを使用していない顧客は、Podman Desktop などのオープン ソース コンテナー管理ツールを使用して、コンテナの実行、管理、作成を行うことができます。詳細については、「Podman Desktop を使用して HDS セットアップ ツールを実行する 」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプション ハイブリッド データ セキュリティ展開のための X.509 証明書要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を保持します

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。組織を反映した名前を使用することをお勧めします。たとえば、hds.company.com

CN に *(ワイルドカード)を含めることはできません。

CN は、Webex アプリ クライアントに対してハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • kms-private-key のフレンドリーな名前を使用して、証明書、秘密キー、およびアップロードする中間証明書にタグを付けます。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存

  • VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

    ESXi の以前のバージョンがある場合は、アップグレードする必要があります。

  • 最低 4 つの vCPU、8 GB メイン メモリ、サーバーあたり 30 GB のローカル ハード ディスク容量

データベース サーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベース サーバー要件

ポストSQL

Microsoft SQL サーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、2019、または 2022 (エンタープライズまたは標準) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベース サーバと通信するための次のドライバ バージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On(Always On Failover Cluster Instances および Always On アベイラビリティ グループ)をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server で HDS データベース インスタンスをサービス プリンシパル ネーム (SPN) として登録できます。「Kerberos 接続のサービス プリンシパル名を登録する」を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション

プロトコル

ポート

アプリからの方向

移動先

ハイブリッド データ セキュリティ ノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべての Common Identity ホスト

  • [Webex サービスのネットワーク要件][Webex ハイブリッド サービスの追加 URL] テーブルにハイブリッド データ セキュリティのためにリストされているその他の URL

HDS セットアップ ツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべての Common Identity ホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワーク アクセス トランスレーション(NAT)またはファイアウォールの背後で機能します。ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域

共通 ID ホスト URL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が起これば、wbx2.com およびciscospark.com へのトラフィックをバイパスする(検査しない)ことが解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして構成する準備ができていることを確認してください。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織は既存の HDS 展開を持つべきではありません。

2

HDS 展開のドメイン名 (例、hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。

3

クラスタでハイブリッド データ セキュリティ ノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。

4

データベース サーバーの要件に従って、クラスタのキー データ ストアとして機能するデータベース サーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。

  1. キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップ データベース サーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホストの安全なバックアップ ポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続の要件で説明されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードの接続を許可していることを確認してください。

9

Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080.

Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。Docker デスクトップ ライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件 」を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンに外部接続要件で説明されている接続性が必要です。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

始める前に

1

初期セットアップを実行し、インストール ファイルをダウンロードする

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を設定します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスタ内の最初のノードを登録

VM を Cisco Webex クラウドにハイブリッド データ セキュリティ ノードとして登録します。

8

他のノードを作成して登録

クラスタのセットアップを完了します。

9

Partner Hub でマルチテナント HDS を有効にします。

HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストール ファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします(ハイブリッド データ セキュリティ ノードとして設定したサーバにはありません)。このファイルはのちにインストール プロセスで使用します。

1

Partner Hub にサインインし、[サービス] をクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。

3

[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。

古いバージョンのソフトウェア パッケージ (OVA) は最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。

OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッド データ セキュリティ ソフトウェアのダウンロード] をクリックします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

オプションで、[ハイブリッド データ セキュリティ 展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

  • いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
  • はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。
10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
  • 証明書が OK の場合は、[続行] をクリックします。
  • 証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
11

HDS がキーデータストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. [データベース タイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

    [Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。

  2. (Microsoft SQL Server のみ) 認証タイプを選択します。

    • 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。

    • Windows 認証:username@DOMAIN [ユーザー名] フィールドの 形式の Windows アカウントが必要です。

  3. : または : の形式でデータベース サーバー アドレスを入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

    Windows 認証を使用している場合は、次の形式で完全修飾ドメイン名を入力する必要があります。 dbhost.example.org:1433

  4. データベース名を入力します。

  5. キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名][パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルト オプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者を、データベース ルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

  • また、サーバー証明書のホスト名が [データベース ホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップ ツールはデータベース サーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システム ログ(System Logs)] ページで、Syslogd サーバを設定します。

  1. syslog サーバの URL を入力します。

    サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

    例:
    udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
  2. TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

    このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。

  3. [syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。

  4. [続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxSize: 10
15

[サービス アカウント パスワードのリセット] 画面で [続行] をクリックします。

サービス アカウント パスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムの ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、CTRL+C と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスター キーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。

4

[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。

5

[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、[次へ] をクリックします。

7

[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。

8

[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。

9

[ネットワークの選択] ページで、エントリのリストからネットワーク オプションを選択して、VM に希望する接続を提供します。

10

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

  • マスク—サブネット マスク アドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。
  • ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。(最大 4 つの DNS エントリが許可されます)。
  • NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
  • 同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。

必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッド データ セキュリティ VM をセットアップする 」の手順に従って、ノード コンソールから設定を構成できます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。

11

ノード VM を右クリックし、[電源] > [電源オン] を選択します。

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン: admin

  2. パスワード: cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メイン メニューで [設定の編集] オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスター キーを保持しているため、ハイブリッド データ セキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. CD/DVD Drive 1 をクリックして、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除 」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

Web ブラウザhttps://[HDS Node IP or FQDN]/setup で HDS ノードのセットアップ URL を入力し、ノードに設定した管理者資格情報を入力し、[サインイン] をクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプションです。証明書の更新は必要ありません。
  • 透明検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。
  • 透過型検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート: プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ: 次の認証タイプから選択します。

      • なし: 追加の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッド データ セキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[セットアップ] をクリックします。

4

開いたページで、[リソースの追加] をクリックします。

5

[ノードを追加] カードの最初のフィールドで、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。

この IP アドレスまたは FQDN は、「ハイブリッド データ セキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9

リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

[ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1

OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。

2

新しい VM で初期設定をセットアップし、「ハイブリッド データ セキュリティ VM のセットアップ」の手順を繰り返します。

3

新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。

4

展開用にプロキシを設定している場合は、新しいノードで 「プロキシ統合のために HDS ノードを構成する」 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけ、[すべて表示] をクリックします。

    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
  3. 新しく作成されたクラスターが [リソース ] ページに表示されます。

  4. クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。

  5. 画面の右側にある [ノードの追加] をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。

    ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
  8. リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージは、Partner Hub の画面下部にも表示されます。

    ノードが登録されています。

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[設定の編集] をクリックします。

4

[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスタに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

顧客を割り当てるクラスタをクリックします。

5

[割り当てられた顧客] タブに移動します。

6

[顧客の追加] をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

[追加] をクリックすると、顧客がクラスタに追加されます。

9

複数の顧客をクラスタに追加するには、手順 6 ~ 8 を繰り返します。

10

顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する 」で詳しく説明されている HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

開始する前に

Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

CMK 管理を実行するには、データベースへの接続を確認します。
11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を作成 または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。
  • テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中 から CMK 管理に変更されます。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウント マネージャーに連絡してください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[すべて表示] をクリックします。

4

[リソース] タブで、顧客組織を削除するクラスタをクリックします。

5

開いたページで、[割り当てられた顧客] をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織のフル管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインイン プロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで、[はい] をクリックします。

10

ブラウザで ISO ファイルを選択してアップロードします。

11

[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。

  • すべての組織に対して CMK を取り消す または CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12

CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナントのハイブリッド データ セキュリティ 暗号化のシナリオをテストします。

開始する前に

  • マルチテナントのハイブリッド データ セキュリティの展開をセットアップします。

  • syslog にアクセスして、重要な要求がマルチテナントハイブリッド データ セキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

  1. ユーザーが最初に KMS にセキュアなチャネルを確立していることを確認するには、kms.data.method=create およびkms.data.type=EPHEMERAL_KEY_COLLECTIONでフィルタリングします。

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. 新しい KMS キーの作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

    以下のエントリーを見つける必要があります。
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッド データ セキュリティの正常性のモニター

Partner Hub 内のステータス インジケータは、マルチテナントハイブリッド データ セキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

[パートナー ハブ] で、画面の左側にあるメニューから [サービス] を選択します。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、 [設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

ハイブリッド データ セキュリティのソフトウェア アップグレードはクラスタ レベルで自動的に実行されるため、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、ハイブリッド データ セキュリティを見つけ、[セットアップ] をクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

5

[クラスター設定] タブをクリックします。

6

[クラスタ設定(Cluster Settings)] ページの [アップグレード スケジュール(Upgrade Schedule)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

    Docker Desktop ライセンスをお持ちでない場合は、Podman Desktop を使用して、以下の手順の手順 1.a ~ 1 の HDS セットアップ ツールを実行できます。詳細については、「Podman Desktop を使用して HDS セットアップ ツールを実行する 」を参照してください。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    docker login -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker pull ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップ ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

  7. プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、CTRL+C と入力します。

  10. 更新されたファイルのバックアップ コピーを別のデータ センターに作成します。

2

実行中の HDS ノードが 1 つしかない場合、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. Partner Hub で新しいノードを登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. CD/DVD Drive 1 をクリックして、ISO ファイルからマウントするオプションを選択し、新しい構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、 サインイン

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティ データへのさらなるアクセスを防止します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. Partner Hub にサインインし、[サービス] を選択します。

  2. ハイブリッド データ セキュリティ カードで、[すべて表示] をクリックして、ハイブリッド データ セキュリティ リソース ページを表示します。

  3. クラスタを選択して [概要] パネルを表示します。

  4. 削除するノードをクリックします。

  5. 右に表示されるパネルで、[このノードの登録解除] をクリックします。

  6. ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。
1

HDS セットアップ ツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。

2

設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。

3

ローカル システムの ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。

ノードの開始後に更新された構成変更が有効になるように、[接続済み][電源で接続] がオンになっていることを確認します。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。

8

スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップ ツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server アプライアンスで、HDS ノードを選択します。

3

[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状を経験します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッド データ セキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメール アドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

Partner Hub で HDS を有効にします。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織では、テナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。

削除された組織のテナント組織のセットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。
1

アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。

2

ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。

3

Cisco サポートに連絡します。

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストア データベースへのアクセスを失った場合、顧客組織の Webex アプリ ユーザーは、KMS のキーで作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

Podman Desktop を使用して HDS セットアップ ツールを実行します

ポッドマンは、コンテナの運行、管理、作成の方法を提供するオープンソースの無料コンテナ管理ツールです。Podman デスクトップは https://podman-desktop.io/downloads からダウンロードできます。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Podman をダウンロードして実行します。セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。

    • データベース クレデンシャル

    • 証明書の更新

    • 認証ポリシーの変更

  • データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッド データ セキュリティ セットアップ プロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

podman rmi ciscocitg/hds-setup:stable  

FedRAMP 環境の場合:

podman rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

podman login docker.io -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

podman pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

podman pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシがある通常の環境の場合:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

次に行うこと

HDS ホストの構成 ISO を作成する 」または「ノード構成を変更 」の残りの手順に従って、ISO 構成を作成または変更します。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受信したら、hdsnode.pem として保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディタを使用して、hdsnode-bundle.pem と呼ばれる証明書バンドルファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

親しみやすい名前 kms-private-key で .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。次に、プライベート キーと最初の証明書に回線 friendlyName: kms-private-key が含まれていることを確認します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

次に行うこと

[ハイブリッド データ セキュリティの前提条件を完了] に戻ります。hdsnode.p12 [HDS ホストの構成 ISO を作成する] で、設定したファイル、およびパスワードを使用します

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、サービスの適切な運用のためにwss: トラフィックを無視するために、さまざまなバージョンの Squid を構成する方法について説明します。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol tunnel all

Squid 3.5.27

次のルールを squid.conf に追加して、ハイブリッド データ セキュリティを正常にテストしました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

新規および変更された情報

新規および変更された情報

この表には 、マルチテナント ハイブリッド データ セキュリティの展開ガイドで修正された新しい機能、既存のコンテンツへの変更、および主要なエラーが記載されています。

日付

変更内容

2025年5月8日

2025年3月4日

2025年1月30日

データベース サーバーの要件でサポートされている SQL サーバーの一覧に SQL サーバー バージョン 2022 を追加しました。

2025年1月15日

マルチテナントハイブリッドデータセキュリティの制限事項を追加しました。

2025年1月8日

初期セットアップを実行してインストール ファイルをダウンロードする に、パートナー ハブの HDS カードで セットアップ をクリックすることがインストール プロセスの重要な手順であることを示す注記を追加しました。

2025年1月7日

ESXi 7.0 の新しい要件を示すために、 仮想ホストの要件ハイブリッド データ セキュリティの導入タスク フロー、および HDS ホスト OVA のインストール を更新しました。

2024年12月13日

初公開。

マルチテナントハイブリッドデータセキュリティを無効にする

マルチテナント HDS 非アクティブ化タスクフロー

マルチテナント HDS を完全に非アクティブ化するには、次の手順に従います。

開始する前に

このタスクは、パートナーの完全な管理者のみが実行する必要があります。
1

テナント組織の削除で説明されているように、すべてのクラスターからすべての顧客を削除します。

2

HDS から削除されたテナントの CMK を取り消します。に記載されているように、すべての顧客の CMK を取り消します。

3

ノードの削除で説明したように、すべてのクラスターからすべてのノードを削除します。

4

次の 2 つの方法のいずれかを使用して、パートナー ハブからすべてのクラスターを削除します。

  • 削除したいクラスターをクリックし、概要ページの右上にある このクラスターを削除 を選択します。
  • [リソース] ページで、クラスターの右側にある … をクリックし、 クラスターの削除を選択します。
5

ハイブリッド データ セキュリティの概要ページで 設定 タブをクリックし、HDS ステータス カードで HDS を非アクティブ化 をクリックします。

マルチテナントハイブリッドデータセキュリティを始める

マルチテナントハイブリッドデータセキュリティの概要

最初から、データ セキュリティは Webex アプリの設計における主な焦点でした。このセキュリティの基礎となるのは、Webex アプリ クライアントがキー管理サービス (KMS) と対話することで実現されるエンドツーエンドのコンテンツ暗号化です。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存された動的キーによるエンドツーエンドの暗号化を利用できます。ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナント ハイブリッド データ セキュリティ により、組織は信頼できるローカル パートナーを通じて HDS を活用できるようになります。ローカル パートナーはサービス プロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティ サービスを管理できます。この設定により、パートナー組織は暗号化キーの展開と管理を完全に制御できるようになり、顧客組織のユーザー データが外部からのアクセスから安全であることを保証できます。パートナー組織は、必要に応じて HDS インスタンスをセットアップし、HDS クラスターを作成します。通常の HDS 展開が単一の組織に限定されるのとは異なり、各インスタンスは複数の顧客組織をサポートできます。

パートナー組織は展開と管理を制御できますが、顧客が生成したデータやコンテンツにはアクセスできません。このアクセスは顧客組織とそのユーザーに限定されます。

また、キー管理サービスやデータセンターなどのセキュリティ インフラストラクチャは信頼できるローカル パートナーが所有しているため、小規模な組織でも HDS を活用できるようになります。

マルチテナントハイブリッドデータセキュリティがデータ主権とデータ制御を提供する仕組み

  • ユーザーが生成したコンテンツは、クラウド サービス プロバイダーなどの外部アクセスから保護されます。
  • 現地の信頼できるパートナーが、すでに関係を確立している顧客の暗号化キーを管理します。
  • パートナーが提供する場合のローカル テクニカル サポートのオプション。
  • 会議、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナント ハイブリッド データ セキュリティ システムで顧客を設定および管理できるように支援することを目的としています。

マルチテナントハイブリッドデータセキュリティの限界

  • パートナー組織は、Control Hub でアクティブな既存の HDS 展開を保持してはなりません。
  • パートナーによる管理を希望するテナントまたは顧客組織には、Control Hub に既存の HDS 展開が存在してはなりません。
  • パートナーが Multi-Tenant HDS を導入すると、顧客組織のすべてのユーザーとパートナー組織のユーザーが暗号化サービスに Multi-Tenant HDS を活用し始めます。

    パートナー組織とそれらが管理する顧客組織は、同じマルチテナント HDS 展開上に存在します。

    マルチテナント HDS が展開されると、パートナー組織はクラウド KMS を使用しなくなります。

  • HDS のデプロイメント後にキーを Cloud KMS に戻すメカニズムはありません。
  • 現在、各マルチテナント HDS デプロイメントには、その下に複数のノードを持つ 1 つのクラスターのみを含めることができます。
  • 管理者ロールには一定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッドデータセキュリティにおける役割

  • パートナー完全管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
  • パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
  • 完全な管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限を持つパートナー組織の管理者。
  • すべての顧客組織のエンドツーエンドのマルチテナント HDS セットアップと管理 - パートナーの完全な管理者権限と完全な管理者権限が必要です。
  • 割り当てられたテナント組織の管理 - パートナー管理者および完全管理者の権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウド アーキテクチャは、以下に示すように、異なるタイプのサービスを個別の領域、つまり信頼ドメインに分離します。

分離の領域(ハイブリッド データ セキュリティなし)

ハイブリッド データ セキュリティをさらに理解するために、まず、シスコがクラウド領域ですべての機能を提供している純粋なクラウドのケースを見てみましょう。メール アドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データ センター B のセキュリティ領域から論理的および物理的に分かれています。データ センター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントはユーザーのラップトップ上で実行されている Webex アプリであり、アイデンティティ サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

  1. クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

  2. メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。

  3. 暗号化されたメッセージは、コンプライアンス チェックのためコンプライアンス サービスに送信されます。

  4. 暗号化されたメッセージは、保管領域に保管されます。

ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス作成、コンプライアンス) がオンプレミスのデータ センターに移動します。Webex を構成するその他のクラウド サービス (ID およびコンテンツ ストレージを含む) は、引き続き Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者と共同作業を行う場合があります。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを Webex クラウドにルーティングし、適切な KMS からキーを取得して、元のチャネルでユーザーにキーを返します。

組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナント ハイブリッド データ セキュリティ展開で使用する x.509 証明書の生成の詳細については、 環境の準備 を参照してください。

ハイブリッド データ セキュリティの展開の例外

ハイブリッド データ セキュリティの導入には、多大なコミットメントと、暗号化キーの所有に伴うリスクに対する認識が必要です。

ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

  • Cisco Webex Teams プランでサポートされている国の安全なデータ センター。

  • 環境の準備に記載されている機器、ソフトウェア、およびネットワーク アクセス。

Hybrid Data Security 用に構築した構成 ISO または提供したデータベースのいずれかが完全に失われると、キーが失われます。キーを紛失すると、ユーザーは Webex アプリ内のスペース コンテンツやその他の暗号化されたデータを復号化できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

  • データベースのバックアップと復元および構成 ISO を管理します。

  • データベース ディスク障害やデータ センターの災害などの大災害が発生した場合に迅速に災害復旧を実行できるように準備しておきます。

HDS の展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナント ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッド データ セキュリティ ソフトウェアのインストール、HDS クラスターの構築、クラスターへのテナント組織の追加、顧客メイン キー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能のためにハイブリッド データ セキュリティ クラスターを使用できるようになります。

    セットアップ、アクティベーション、および管理の各フェーズについては、次の 3 つの章で詳しく説明します。

  • ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは継続的なアップグレードを自動的に提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。パートナー ハブでは、画面上の通知を使用したり、電子メールベースのアラートを設定したりできます。

  • 一般的なアラート、トラブルシューティングの手順、既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用中に問題が発生した場合、このガイドの最後の章と「既知の問題」の付録が問題を特定して解決するのに役立つ場合があります。

ハイブリッド データ セキュリティ展開モデル

エンタープライズ データ センター内では、Hybrid Data Security を個別の仮想ホスト上のノードの単一クラスターとして展開します。ノードは、セキュアな Web ソケットとセキュアな HTTP を介して Webex クラウドと通信します。

インストール プロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップ ツールを使用し、各ノードにマウントするカスタム クラスター構成 ISO ファイルを作成します。ハイブリッド データ セキュリティ クラスターは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。(Syslogd とデータベース接続の詳細は、HDS セットアップ ツールで設定します。)

ハイブリッド データ セキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つを推奨します。複数のノードを持つことで、ノード上のソフトウェアのアップグレードやその他のメンテナンス作業中にサービスが中断されることがなくなります。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

クラスターのすべてのノードは、同じキー データストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンド ロビン方式でキー リクエストを処理します。

ノードは、Partner Hub に登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中に、安全なスタンバイ データ センターをセットアップします。データ センターで災害が発生した場合は、デプロイメントをスタンバイ データ センターに手動でフェールオーバーできます。

フェイルオーバー前は、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、データセンター B には追加の構成を含む ISO ファイルのコピー、組織に登録されている VM、およびスタンバイ データベースがあります。フェイルオーバー後、データセンター B にはアクティブな HDS ノードとプライマリ データベースが存在し、データセンター A には登録されていない VM と ISO ファイルのコピーが存在し、データベースはスタンバイ モードになります。
スタンバイデータセンターへの手動フェイルオーバー

アクティブ データ センターとスタンバイ データ センターのデータベースは相互に同期されているため、フェイルオーバーの実行にかかる時間が最小限に抑えられます。

アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバーと同じデータ センターに存在する必要があります。

プロキシサポート

ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

  • プロキシなし—HDSノードセットアップ信頼ストアを使用しない場合のデフォルト & プロキシを統合するためのプロキシ構成。証明書の更新は必要ありません。

  • 透過的な非検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように構成されていないため、非検査プロキシで動作するために変更する必要はありません。証明書の更新は必要ありません。

  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバ アドレスを使用するように構成されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

  • 明示的プロキシ—明示的プロキシでは、使用するプロキシ サーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート—プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコル—プロキシ サーバーのサポート内容に応じて、次のプロトコルから選択します。

      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

      • HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。

    4. 認証タイプ—次の認証タイプから選択します。

      • なし—これ以上の認証は必要ありません。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

      • 基本—HTTP ユーザーエージェントがリクエスト時にユーザー名とパスワードを提供するために使用されます。Base64 エンコードを使用します。

        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

        各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッド データ セキュリティ ノードとプロキシの例

この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナント ハイブリッド データ セキュリティを展開するには:

  • パートナー組織: Cisco パートナーまたはアカウント マネージャに連絡して、マルチテナント機能が有効になっていることを確認してください。

  • テナント組織: Cisco Webex Control Hub の Pro Pack が必要です。(https://www.cisco.com/go/pro-packを参照。)

Dockerデスクトップの要件

HDS ノードをインストールする前に、セットアップ プログラムを実行するために Docker Desktop が必要です。Docker は最近、ライセンス モデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください

Docker Desktop ライセンスをお持ちでないお客様は、Podman Desktop などのオープンソース コンテナ管理ツールを使用して、コンテナを実行、管理、作成できます。詳細については、 Podman Desktop を使用して HDS セットアップ ツールを実行する を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表1. ハイブリッド データ セキュリティ展開における X.509 証明書の要件

要件

詳細

  • 信頼できる証明書権限 (CA) で署名済み

デフォルトでは、Mozilla リスト内の CA (WoSign と StartCom を除く) を https://wiki.mozilla.org/CA:IncludedCAsで信頼します。

  • ハイブリッド データ セキュリティ展開を識別する共通名 (CN) ドメイン名を持ちます

  • ワイルドカード証明書ではありません

CN は到達可能またはアクティブな主催者である必要はありません。組織を反映する名前(例: hds.company.com)を使用することをお勧めします。

CNには、 * (ワイルドカード)。

CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを検証するために使用されます。クラスター内のすべてのハイブリッド データ セキュリティ ノードは同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。

この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。

  • 非 SHA1 署名

KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。

  • パスワード保護された PKCS #12 ファイルとして形式化

  • アップロードする証明書、秘密キー、および中間証明書にタグを付けるには、 kms-private-key というフレンドリ名を使用します。

OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。

HDS セットアップ ツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスター内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

  • 少なくとも 2 台の独立したホスト (3 台を推奨) が同じ安全なデータ センター内に配置されている

  • VMware ESXi 7.0 または 8.0 がインストールされ、実行されています。

    以前のバージョンの ESXi を使用している場合は、アップグレードする必要があります。

  • サーバーあたり最低 4 つの vCPU、8 GB のメイン メモリ、30 GB のローカル ハード ディスク容量

データベースサーバーの要件

キー保存用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。

データベース サーバーには 2 つのオプションがあります。それぞれの要件は次のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQL

マイクロソフトSQLサーバー

  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

  • SQL Server 2016、2017、2019、または 2022 (Enterprise または Standard) がインストールされています。

    SQL Server 2016 には、Service Pack 2 および Cumulative Update 2 以降が必要です。

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

最低 8 vCPUs、16-GB メイン メモリ、十分なハード ディスク スペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

HDS ソフトウェアは現在、データベース サーバーとの通信用に次のドライバー バージョンをインストールします。

PostgreSQL

マイクロソフトSQLサーバー

Postgres JDBC ドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライバー バージョンは、SQL Server Always On ( Always On フェールオーバー クラスター インスタンス および Always On 可用性グループ) をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストア データベースにアクセスするようにする場合は、環境で次の構成が必要です。

  • HDS ノード、Active Directory インフラストラクチャ、および MS SQL Server はすべて NTP と同期する必要があります。

  • HDSノードに提供するWindowsアカウントには、 read/write データベースへのアクセス。

  • HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。

  • Microsoft SQL Server 上の HDS データベース インスタンスを、Active Directory 上のサービス プリンシパル名 (SPN) として登録できます。 Kerberos 接続用のサービス プリンシパル名の登録を参照してください。

    HDS セットアップ ツール、HDS ランチャー、およびローカル KMS はすべて、キーストア データベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 構成の詳細を使用して SPN を構築します。

外部接続要件

HDS アプリケーションに対して次の接続を許可するようにファイアウォールを構成します。

アプリケーション

プロトコル

ポート

アプリからの案内

移動先

ハイブリッドデータセキュリティノード

TCP

443

アウトバウンド HTTPS および WSS

  • Webex サーバー:

    • *.wbx2.com

    • *.ciscospark.com

  • すべてのCommon Identityホスト

  • Webex サービスのネットワーク要件 [] の Webexハイブリッド サービスの追加 URL [表のハイブリッド データ セキュリティについて記載されているその他の URL

HDSセットアップツール

TCP

443

アウトバウンド HTTPS

  • *.wbx2.com

  • すべてのCommon Identityホスト

  • hub.docker.com

ハイブリッド データ セキュリティ ノードは、ネットワーク アクセス変換 (NAT) またはファイアウォールの背後で動作します (ただし、NAT またはファイアウォールが、前の表のドメインの宛先への必要な送信接続を許可している必要があります)。ハイブリッド データ セキュリティ ノードへの受信接続の場合、インターネットからポートが見えないようにする必要があります。データ センター内では、クライアントは管理目的で TCP ポート 443 および 22 上のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

Common Identity (CI) ホストの URL はリージョン固有です。現在の CI ホストは次のとおりです。

地域

共通アイデンティティホストURL

Americas(北米、南米エリア)

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧州連合

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

カナダ

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

シンガポール
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

アラブ首長国連邦
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

プロキシ サーバーの要件

  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

    • HTTP または HTTPS による認証がありません

    • HTTP または HTTPS による基本認証

    • HTTPS のみによるダイジェスト認証

  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、 wbx2.com および ciscospark.com へのトラフィックをバイパスする(検査しない)と、問題は解決します。

ハイブリッド データ セキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッド データ セキュリティ クラスターをインストールして構成する準備ができていることを確認します。
1

パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーの完全な管理者と完全な管理者権限を持つアカウントの資格情報を取得します。Webex 顧客組織で Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウント マネージャーにこのプロセスについてサポートを受けるために連絡してください。

顧客組織には既存の HDS 導入が存在しない必要があります。

2

HDS 展開のドメイン名 (たとえば、 hds.company.com) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、 X.509 証明書の要件の要件を満たしている必要があります。

3

クラスター内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホストの要件の要件を満たす、同じ安全なデータ センター内に少なくとも 2 台の個別のホスト (3 台を推奨) を配置する必要があります。

4

データベース サーバーの要件に従って、クラスターのキー データ ストアとして機能するデータベース サーバーを準備します。データベース サーバーは、仮想ホストと同じ安全なデータ センターに配置する必要があります。

  1. キーを保存するためのデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースは使用しないでください。インストールしたとき、HDS アプリケーションはデータベース スキーマを作成します。)

  2. ノードがデータベース サーバーと通信するために使用する詳細をまとめます:

    • 主催者名または IP アドレス (主催者) およびポート

    • 重要なストレージ向けのデータベース名 (dbname)

    • 重要なストレージ データベースですべての権限を持つユーザーのユーザー名とよびパスワード

5

迅速な災害復旧のために、別のデータセンターにバックアップ環境を構築します。バックアップ環境は、VM とバックアップ データベース サーバーの運用環境をミラーリングします。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。

6

Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワーク アドレスと syslog ポート (デフォルトは UDP 514) をまとめます。

7

ハイブリッド データ セキュリティ ノード、データベース サーバー、および syslog ホストの安全なバックアップ ポリシーを作成します。回復不可能なデータ損失を防ぐために、少なくとも、データベースと、Hybrid Data Security ノード用に生成された構成 ISO ファイルをバックアップする必要があります。

ハイブリッド データ セキュリティ ノードにはコンテンツの暗号化と復号化に使用されるキーが保存されるため、運用展開を維持できない場合は、そのコンテンツの 回復不可能な損失 が発生します。

Webex アプリ クライアントはキーをキャッシュするため、停止はすぐには気付かれないかもしれませんが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッド データ セキュリティ ノードのオペレーターは、データベースと構成 ISO ファイルのバックアップを頻繁に維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

8

外部接続要件に概説されているように、ファイアウォール構成でハイブリッド データ セキュリティ ノードへの接続が許可されていることを確認します。

9

サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以上)を実行しているローカルマシンに、WebブラウザーでアクセスできるDocker( https://www.docker.comhttp://127.0.0.1:8080.)をインストールします。

Docker インスタンスを使用して HDS セットアップ ツールをダウンロードして実行し、すべてのハイブリッド データ セキュリティ ノードのローカル構成情報を構築します。Docker Desktop ライセンスが必要になる場合があります。詳細については、 Docker Desktop の要件 を参照してください。

HDS セットアップ ツールをインストールして実行するには、ローカル マシンが 外部接続要件に記載されている接続を備えている必要があります。

10

プロキシをハイブリッド データ セキュリティと統合する場合は、 プロキシ サーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスターをセットアップする

ハイブリッドデータセキュリティの導入タスクフロー

始める前に

1

初期セットアップを実行し、インストールファイルをダウンロードします

後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

2

HDS 主催者に構成 ISO を作成する

HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 構成ファイルを作成します。

3

HDS 主催者 OVA をインストールする

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期構成を実行します。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 および 8.0 でテストされています。このオプションは以前のバージョンでは利用できない可能性があります。

4

ハイブリッド データ セキュリティ VM のセットアップ

VM コンソールにサインインし、サインイン資格情報を設定します。OVA の展開時に構成しなかった場合は、ノードのネットワーク設定を構成します。

5

HDS 構成 ISO をアップロードしマウントする

HDS セットアップ ツールで作成した ISO 構成ファイルから VM を構成します。

6

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシ構成が必要な場合は、ノードに使用するプロキシの種類を指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

7

クラスターの最初のノードを登録する

VM をハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに登録します。

8

追加のノードを作成して登録する

クラスターのセットアップを完了します。

9

パートナー ハブでマルチテナント HDS をアクティブ化します。

HDS をアクティブ化し、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードします

このタスクでは、OVA ファイルを自分のマシンにダウンロードします (Hybrid Data Security ノードとして設定したサーバーにはダウンロードしません)。このファイルはのちにインストール プロセスで使用します。

1

パートナー ハブにサインインし、 サービスをクリックします。

2

[クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、 セットアップをクリックします。

パートナー ハブで セットアップ をクリックすることは、展開プロセスにとって重要です。この手順を完了せずにインストールを続行しないでください。

3

リソースの追加 をクリックし、 ソフトウェアのインストールと構成 カードの [] .OVA ファイルのダウンロードをクリックします。

ソフトウェア パッケージ (OVA) の古いバージョンは、最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。必ず最新バージョンの OVA ファイルをダウンロードしてください。

また、 ヘルプ セクションからいつでも OVA をダウンロードできます。 設定 をクリック > ヘルプ > ハイブリッド データ セキュリティ ソフトウェアをダウンロードします。

OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4

必要に応じて、 ハイブリッド データ セキュリティ展開ガイドを参照 をクリックして、このガイドの新しいバージョンがあるかどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

始める前に

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシを使用する通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。

Web ブラウザを使用してローカルホスト http://127.0.0.1:8080に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインイン プロンプトを表示します。

7

プロンプトが表示されたら、パートナー ハブ管理者のサインイン資格情報を入力し、 ログイン をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

ISO インポート ページには、次のオプションがあります。

  • いいえ—最初の HDS ノードを作成する場合は、アップロードする ISO ファイルがありません。
  • はい—HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択してアップロードします。
10

X.509 証明書が X.509 証明書の要件の要件を満たしていることを確認します。

  • これまでに証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して、 続行をクリックします。
  • 証明書に問題がなければ、 続行をクリックします。
  • 証明書の有効期限が切れているか、証明書を置き換える場合は、 以前の ISO の HDS 証明書チェーンと秘密キーを引き続き使用しますか? [] に対していいえを選択します。新しい X.509 証明書をアップロードし、パスワードを入力して、 続行をクリックします。
11

HDS がキー データストアにアクセスするためのデータベース アドレスとアカウントを入力します。

  1. データベース タイプ (PostgreSQL または Microsoft SQL Server) を選択します。

    Microsoft SQL Serverを選択した場合は、認証タイプ フィールドが表示されます。

  2. Microsoft SQL Server のみ) 認証タイプを選択してください :

    • 基本認証: ユーザー名 フィールドにローカル SQL Server アカウント名が必要です。

    • Windows認証: username@DOMAIN ユーザー名 フィールドに [] 形式の Windows アカウントが必要です。

  3. データベース サーバ アドレスを : または :の形式で入力します。

    例:
    dbhost.example.org:1433 または 198.51.100.17:1433

    ノードが DNS を使用してホスト名を解決できない場合は、基本認証に IP アドレスを使用できます。

    Windows認証を使用している場合は、次の形式で完全修飾ドメイン名を入力する必要があります。 dbhost.example.org:1433

  4. データベース名を入力します。

  5. キーストレージデータベースに対するすべての権限を持つユーザーの ユーザー名パスワード を入力します。

12

TLSデータベース接続モードを選択 :

モード

説明

TLSを優先する (デフォルトオプション)

HDS ノードは、データベース サーバに接続するために TLS を必要としませんデータベース サーバーで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは SQL Server データベースには適用されません。

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者と データベース ルート証明書内の証明機関を比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

  • TLS 接続を確立した後、ノードはデータベース サーバーからの証明書の署名者と データベース ルート証明書内の証明機関を比較します。一致しない場合、ノードにより接続が切断されます。

  • また、ノードは、サーバー証明書のホスト名が データベース ホストとポート フィールドのホスト名と一致することも確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書をアップロードし(必要な場合) をクリックすると、HDS セットアップ ツールはデータベース サーバーへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップ ツール マシンで正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる可能性があります。)

13

システム ログ ページで、Syslogd サーバーを構成します。

  1. Syslog サーバーの URL を入力します。

    HDS クラスターのノードからサーバーを DNS 解決できない場合は、URL で IP アドレスを使用します。

    例:
    udp://10.92.43.23:514 UDP ポート 514 上の Syslogd ホスト 10.92.43.23 にログを記録することを示します。
  2. TLS 暗号化を使用するようにサーバーを設定している場合は、 syslog サーバーは SSL 暗号化用に設定されていますか?を確認してください。

    このチェックボックスをオンにする場合は、 tcp://10.92.43.23:514などの TCP URL を入力してください。

  3. Syslog レコードの終了を選択 ドロップダウンから、ISO ファイルに適切な設定を選択します。GraylogとRsyslog TCPでは選択または改行が使用されます

    • ヌルバイト -- \x00

    • 改行 -- \n—Graylog および Rsyslog TCP の場合はこの選択肢を選択します。

  4. [続行] をクリックします。

14

(オプション) 詳細設定で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、変更する必要があるのは次のパラメータだけです。

app_datasource_connection_pool_maxSize: 10
15

サービス アカウントのパスワードのリセット 画面で 続行 をクリックします。

サービス アカウントのパスワードの有効期間は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用します。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカル システムに ISO ファイルのバックアップ コピーを作成します。

バックアップコピーを安全に保管してください。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。構成の変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

18

セットアップ ツールをシャットダウンするには、 CTRL+Cと入力します。

次に行うこと

構成 ISO ファイルをバックアップします。リカバリ用にさらにノードを作成したり、構成を変更したりするには、これが必要です。ISO ファイルのすべてのコピーを失った場合、マスター キーも失われます。PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。

当社はこのキーのコピーを保有しておりませんので、紛失された場合はサポートできません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。

2

ファイル > OVF テンプレートを展開を選択します。

3

ウィザードで、先ほどダウンロードした OVA ファイルの場所を指定し、 次へをクリックします。

4

名前とフォルダの選択 ページで、ノードの 仮想マシン名 (たとえば、「HDS_Node_1」) を入力し、仮想マシン ノードの展開を配置できる場所を選択して、 次へをクリックします。

5

コンピューティング リソースの選択 ページで、宛先コンピューティング リソースを選択し、 次へをクリックします。

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

6

テンプレートの詳細を確認し、 次へをクリックします。

7

構成 ページでリソース構成を選択するように求められた場合は、 4 CPU をクリックし、 次へをクリックします。

8

ストレージの選択 ページで 次へ をクリックして、デフォルトのディスク フォーマットと VM ストレージ ポリシーを受け入れます。

9

ネットワークの選択 ページで、エントリのリストからネットワーク オプションを選択し、VM に必要な接続を提供します。

10

テンプレートのカスタマイズ ページで、次のネットワーク設定を構成します。

  • ホスト名—ノードのFQDN (ホスト名とドメイン) または単語のホスト名を入力します。
    • ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

    • クラウドへの登録を成功させるには、ノードに設定する FQDN またはホスト名には小文字のみを使用します。現時点では大文字化のサポートはありません。

    • FQDNのトータルの長さは64文字を超えてはいけません。

  • IP アドレス— ノードの内部インターフェースの IP アドレスを入力します。

    ノードには内部 IP アドレスと DNS 名があるはずです。DHCPはサポートされていません。

  • マスク—サブネット マスク アドレスをドット付き 10 進表記で入力します。たとえば、 255.255.255.0
  • ゲートウェイ—ゲートウェイのIPアドレスを入力します。ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
  • DNS サーバー—ドメイン名を数値の IP アドレスに変換する DNS サーバーのコンマ区切りリストを入力します。(DNS エントリは最大 4 つまで許可されます。)
  • NTP サーバー—組織の NTP サーバーまたは組織内で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバーはすべての企業で機能するとは限りません。カンマ区切りのリストを使用して複数の NTP サーバーを入力することもできます。
  • 管理目的でネットワーク内のクライアントからクラスター内のすべてのノードにアクセスできるように、すべてのノードを同じサブネットまたは VLAN に展開します。

必要に応じて、ネットワーク設定の構成をスキップし、 ハイブリッド データ セキュリティ VM のセットアップ の手順に従って、ノード コンソールから設定を構成することもできます。

OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 および 8.0 でテストされています。このオプションは以前のバージョンでは利用できない可能性があります。

11

ノードVMを右クリックし、 電源 を選択します。 > 電源オン.

ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを構成する準備が整いました。

トラブルシューティングのヒント

ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

ハイブリッド データ セキュリティ VM のセットアップ

この手順を使用して、Hybrid Data Security ノードの VM コンソールに初めてサインインし、サインイン資格情報を設定します。OVA の展開時にノードのネットワーク設定を構成しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1

VMware vSphere クライアントでハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択してください。

VM が起動し、ログイン プロンプトが表示されます。ログインプロンプトが表示されない場合は、 入力を押してください。
2

以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します:

  1. ログイン: admin

  2. パスワード: cisco

初めて VM にサインインしているため、管理者パスワードを変更する必要があります。

3

HDS ホスト OVA のインストールでネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップしてください。それ以外の場合は、メイン メニューで 構成の編集 オプションを選択します。

4

性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCPはサポートされていません。

5

(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。

ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。

6

変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップ ツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルにはマスター キーが保持されるため、Hybrid Data Security VM および変更を加える必要がある可能性のある管理者がアクセスできるように、必要な場合にのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーをクリックします。

  2. [構成] タブのハードウェアリストで、[保管] をクリックします。

  3. データストア リストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。

  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

  5. コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。

  6. [はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストア ダイアログを閉じます。

2

ISO ファイルのマウント:

  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  2. [OK] をクリックし、制限された編集オプションの警告に同意します。

  3. CD/DVD Drive 1をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。

  4. [接続済み] と [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーで必要な場合は、すべてのノードが構成の変更を取得した後、必要に応じて ISO ファイルをマウント解除できます。詳細については、 (オプション) HDS 構成後の ISO のアンマウント を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

1

Web ブラウザに HDS ノード セットアップ URL https://[HDS Node IP or FQDN]/setup を入力し、ノードに設定した管理者の資格情報を入力して、 サインインをクリックします。

2

[信頼ストアとロキシ] に移動して、次のオプションを選択します。

  • プロキシなし—プロキシを統合する前のデフォルト オプション。証明書の更新は必要ありません。
  • 透過的な非検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように構成されていないため、非検査プロキシで動作するために変更する必要はありません。証明書の更新は必要ありません。
  • 透過的検査プロキシ—ノードは特定のプロキシ サーバ アドレスを使用するように構成されていません。ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
  • 明示的プロキシ—明示的プロキシでは、使用するプロキシ サーバーをクライアント (HDS ノード) に指示します。このオプションでは、いくつかの認証タイプがサポートされます。このオプションを選択した後、次の情報を入力する必要があります。
    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

    2. プロキシ ポート—プロキシがプロキシ トラフィックをリッスンするために使用するポート番号。

    3. プロキシ プロトコルhttp (クライアントから受信したすべての要求を表示および制御) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証) を選択します。プロキシ サーバーがサポートするオプションを選択します。

    4. 認証タイプ—次の認証タイプから選択します。

      • なし—これ以上の認証は必要ありません。

        HTTP または HTTPS プロキシで利用できます。

      • 基本—HTTP ユーザーエージェントがリクエスト時にユーザー名とパスワードを提供するために使用されます。Base64 エンコードを使用します。

        HTTP または HTTPS プロキシで利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

        HTTPS プロキシに対してのみ利用できます。

        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

3

[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

4

[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、次の手順を完了し、 ブロックされた外部 DNS 解決モードをオフにするを参照してください。

5

接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。

6

[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

ノードが数分以内に再起動されます。

7

ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスターの最初のノードを登録する

このタスクは、 ハイブリッド データ セキュリティ VM のセットアップで作成した汎用ノードを取得し、そのノードを Webex クラウドに登録して、ハイブリッド データ セキュリティ ノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップ ブロッカーが無効になっているか、admin.webex.com に対して例外を許可していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

クラウド サービス セクションで、ハイブリッド データ セキュリティ カードを見つけて、 セットアップをクリックします。

4

開いたページで、 リソースの追加をクリックします。

5

ノードの追加 カードの最初のフィールドに、Hybrid Data Security ノードを割り当てるクラスターの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」、「ニューヨーク」、「ダラス」

6

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部の 追加 をクリックします。

この IP アドレスまたは FQDN は、 ハイブリッド データ セキュリティ VM のセットアップで使用した IP アドレスまたはホスト名およびドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
7

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。ここで、Webex 組織にノードにアクセスする権限を与えることを確認します。

8

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。
9

リンクをクリックするかタブを閉じると、パートナー ハブのハイブリッド データ セキュリティ ページに戻ります。

ハイブリッド データ セキュリティ ページで、登録したノードを含む新しいクラスターが リソース タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

追加のノードを作成して登録する

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

  • ブラウザのポップアップ ブロッカーが無効になっているか、admin.webex.com に対して例外を許可していることを確認します。

1

HDS ホスト OVA のインストールの手順を繰り返して、OVA から新しい仮想マシンを作成します。

2

Hybrid Data Security VM のセットアップの手順を繰り返して、新しい VM で初期構成をセットアップします。

3

新しい VM で、 HDS 構成 ISO のアップロードとマウントの手順を繰り返します。

4

デプロイメントにプロキシを設定する場合は、新しいノードの必要に応じて、 プロキシ統合用の HDS ノードの構成 の手順を繰り返します。

5

ノードを登録します。

  1. https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。

  2. [クラウド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、 [すべて表示をクリックします。

    ハイブリッド データ セキュリティ リソース ページが表示されます。
  3. 新しく作成されたクラスターは リソース ページに表示されます。

  4. クラスターをクリックすると、クラスターに割り当てられたノードが表示されます。

  5. 画面右側の ノードの追加 をクリックします。

  6. ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、 [ 追加 ]をクリックします。

    ノードを Webex クラウドに登録できることを通知するメッセージが表示されたページが開きます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。ここで、組織にノードへのアクセス許可を与えることを確認します。
  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

    アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。
  8. リンクをクリックするかタブを閉じると、パートナー ハブのハイブリッド データ セキュリティ ページに戻ります。

    ノードが追加されました ポップアップ メッセージがパートナー ハブの画面の下部にも表示されます。

    ノードが登録されました。

マルチテナント ハイブリッド データ セキュリティでテナント組織を管理する

パートナーハブでマルチテナント HDS を有効化する

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティ サービスに HDS を活用できるようになります。

開始する前に

必要な数のノードでマルチテナント HDS クラスターのセットアップが完了していることを確認します。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけて、 設定の編集] をクリックします。

4

HDS ステータス カードの HDS のアクティブ化 をクリックします。

パートナー ハブでテナント組織を追加する

このタスクでは、顧客組織をハイブリッド データ セキュリティ クラスターに割り当てます。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、Hybrid Data Security を見つけて、 [すべて表示]をクリックします。

4

顧客を割り当てるクラスターをクリックします。

5

割り当てられた顧客 タブに移動します。

6

顧客を追加をクリックします。

7

ドロップダウン メニューから追加する顧客を選択します。

8

追加をクリックすると、顧客がクラスターに追加されます。

9

手順 6 ~ 8 を繰り返して、複数の顧客をクラスターに追加します。

10

顧客を追加したら、画面下部の 完了 をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する で説明されているように HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

HDS セットアップ ツールを使用して顧客メイン キー (CMK) を作成する

開始する前に

パートナー ハブでのテナント組織の追加の説明に従って、顧客を適切なクラスターに割り当てます。HDS セットアップ ツールを実行して、新しく追加された顧客組織のセットアップ プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織の完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、手順 5で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。

    • データベース資格情報

    • 証明書の更新

    • 承認ポリシーの変更

  • データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシを使用する通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。

Web ブラウザを使用してローカルホスト http://127.0.0.1:8080に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインイン プロンプトを表示します。

7

プロンプトが表示されたら、パートナー ハブ管理者のサインイン資格情報を入力し、 ログイン をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

ISO インポート ページで、 はいをクリックします。

10

ブラウザで ISO ファイルを選択し、アップロードします。

CMK 管理を実行するには、データベースへの接続を確保します。
11

テナント CMK 管理 タブに移動すると、テナント CMK を管理する次の 3 つの方法が表示されます。

  • すべての ORG の CMK を作成 または CMK を作成 - 画面上部のバナーにあるこのボタンをクリックすると、新しく追加されたすべての組織の CMK が作成されます。
  • 画面右側の CMK の管理 ボタンをクリックし、 CMK の作成 をクリックして、新しく追加されたすべての組織の CMK を作成します。
  • 表内の特定の組織の CMK 管理保留ステータスの近くにある … をクリックし、 CMK の作成 をクリックして、その組織の CMK を作成します。
12

CMK の作成が成功すると、テーブル内のステータスが CMK 管理保留中 から CMK 管理対象に変わります。

13

CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除する

開始する前に

削除されると、顧客組織のユーザーは暗号化のニーズに HDS を活用できなくなり、既存のスペースがすべて失われます。顧客組織を削除する前に、Cisco パートナーまたはアカウント マネージャにお問い合わせください。

1

https://admin.webex.comにサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

[クラウド サービス] セクションで、Hybrid Data Security を見つけて、 [すべて表示]をクリックします。

4

リソース タブで、顧客組織を削除するクラスターをクリックします。

5

開いたページで、 割り当てられた顧客をクリックします。

6

表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、 クラスターから削除をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消すに詳述されているように、顧客組織の CMK を取り消すことで削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除の説明に従って、適切なクラスターから顧客を削除します。HDS セットアップ ツールを実行して、削除された顧客組織の削除プロセスを完了します。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、組織の完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、手順 5で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。

    • データベース資格情報

    • 証明書の更新

    • 承認ポリシーの変更

  • データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシを使用する通常の環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

6

セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。

Web ブラウザを使用してローカルホスト http://127.0.0.1:8080に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインイン プロンプトを表示します。

7

プロンプトが表示されたら、パートナー ハブ管理者のサインイン資格情報を入力し、 ログイン をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

8

セットアップ ツール概要ページで、[開始] をクリックします。

9

ISO インポート ページで、 はいをクリックします。

10

ブラウザで ISO ファイルを選択し、アップロードします。

11

テナント CMK 管理 タブに移動すると、テナント CMK を管理する次の 3 つの方法が表示されます。

  • すべての ORG の CMK を取り消す または CMK を取り消す - 画面上部のバナーにあるこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。
  • 画面右側の CMK の管理 ボタンをクリックし、 CMK の取り消し をクリックして、削除されたすべての組織の CMK を取り消します。
  • テーブル内の特定の組織の ] 取り消す CMK ステータスの近くにある をクリックし、 CMK を取り消す をクリックして、その特定の組織の CMK を取り消します。
12

CMK の失効が成功すると、顧客組織はテーブルに表示されなくなります。

13

CMK の失効が失敗した場合、エラーが表示されます。

ハイブリッド データ セキュリティの展開をテストする

ハイブリッド データ セキュリティ展開

この手順を使用して、マルチテナント ハイブリッド データ セキュリティ暗号化シナリオをテストします。

開始する前に

  • マルチテナント ハイブリッド データ セキュリティの展開をセットアップします。

  • キー要求がマルチテナント ハイブリッド データ セキュリティ展開に渡されていることを確認するには、syslog にアクセスできることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッド データ セキュリティの展開を非アクティブ化すると、暗号化キーのクライアント キャッシュ コピーが置き換えられると、ユーザーが作成したスペース内のコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

Syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

新しく追加された顧客組織のユーザーが何らかのアクションを実行すると、その組織の組織 ID がログに表示され、これを使用して組織がマルチテナント HDS を活用していることを確認できます。syslog 内の kms.data.orgId の値を確認します。

  1. ユーザーが最初にKMSへの安全なチャネルを確立しているかどうかを確認するには、 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTIONでフィルタリングします。 :

    次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
    https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
    clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
     kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
    kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  2. KMSから既存のキーを要求しているユーザーを確認するには、 kms.data.method=retrievekms.data.type=KEYでフィルタリングします。 :

    以下のエントリーを見つける必要があります。
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
     WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
     kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  3. 新しいKMSキーの作成を要求しているユーザーを確認するには、 kms.data.method=createkms.data.type=KEY_COLLECTIONでフィルタリングします。 :

    以下のエントリーを見つける必要があります。
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
     (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
    kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
    kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  4. スペースやその他の保護されたリソースが作成された場合に、新しいKMSリソースオブジェクト(KRO)の作成を要求しているユーザーを確認するには、 kms.data.method=createkms.data.type=RESOURCE_COLLECTIONでフィルタリングします。 :

    以下のエントリーを見つける必要があります。
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
    clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
     kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation  

ハイブリッド データ セキュリティの正常性のモニター

パートナー ハブ内のステータス インジケーターには、マルチテナント ハイブリッド データ セキュリティの展開が正常かどうかが表示されます。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェア アップグレードがある場合は通知されます。
1

パートナーハブで、画面左側のメニューから サービス を選択します。

2

[クラウド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけて、 設定の編集] をクリックします。

ハイブリッド データ セキュリティ設定のページが表示されます。
3

[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDSの導入を管理する

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

クラスターのアップグレード スケジュール

Hybrid Data Security のソフトウェア アップグレードはクラスター レベルで自動的に実行されるため、すべてのノードで常に同じソフトウェア バージョンが実行されるようになります。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1

Partner Hub にサインインします。

2

スクリーンの左側にあるメニューからサービスを選択します。

3

クラウドサービスセクションで、ハイブリッドデータセキュリティを見つけて セットアップをクリックします。

4

[ハイブリッド データ セキュリティ リソース] ページで、クラスターを選択します。

5

クラスター設定 タブをクリックします。

6

[クラスター設定] ページの [アップグレード スケジュール] で、アップグレード スケジュールの時刻とタイム ゾーンを選択します。

注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、 24 時間延期をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。

    証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

  • 新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。(メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

  • ソフト リセット—古いパスワードと新しいパスワードはどちらも最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

  • ハードリセット—古いパスワードは直ちに使用できなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアップ プロセスには、パートナーの完全な管理者権限を持つパートナー ハブ アカウントの資格情報が必要です。

    Docker Desktop ライセンスがない場合は、以下の手順のステップ 1.a から 1.e まで、Podman Desktop を使用して HDS セットアップ ツールを実行できます。詳細については、 Podman Desktop を使用して HDS セットアップ ツールを実行する を参照してください。

    HDS セットアップ ツールが環境内でプロキシの背後で実行される場合は、 1.eで Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1

ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

    一般環境:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

  2. Docker 画像レジストリにサインインするには、以下を入力します。

    docker login -u hdscustomersro
  3. パスワードのプロンプトに対して、このハッシュを入力します。

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. お使い環境に合った最新の安定した画像をダウンロードします。

    一般環境:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP 環境の場合:

    docker pull ciscocitg/hds-setup-fedramp:stable

    この手順に最新のセットアップ ツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

    • プロキシなしの通常の環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • HTTP プロキシがある通常の環境の場合、

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • HTTPS プロキシがある通常の環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • プロキシなしの FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • HTTP プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • HTTPS プロキシがある FedRAMP 環境の場合:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

  6. ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

    セットアップツールは 、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。

  7. プロンプトが表示されたら、パートナー ハブの顧客サインイン資格情報を入力し、 [同意する ] [] をクリックして続行します。

  8. 現在の構成 ISO ファイルをインポートします。

  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

    セットアップ ツールをシャットダウンするには、 CTRL+Cと入力します。

  10. 更新されたファイルのバックアップ コピーを別のデータ センターに作成します。

2

実行中の HDS ノードが 1 つだけの場合は、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細な手順については、 追加のノードを作成して登録するを参照してください。

  1. HDS 主催者 OVA をインストールします。

  2. HDS VM をセットアップします。

  3. 更新された構成ファイルをマウントします。

  4. 新しいノードをパートナー ハブに登録します。

3

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

  1. 仮想マシンをオフにします。

  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

  3. CD/DVD Drive 1をクリックし、ISO ファイルからマウントするオプションを選択して、新しい構成 ISO ファイルをダウンロードした場所を参照します。

  4. [電源に接続する] をチェックします。

  5. 変更を保存し、仮想マシンを起動します。

4

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
1

ウェブブラウザで、ハイブリッド データ セキュリティ ノード インターフェース (IP address/setup, たとえば、 https://192.0.2.0/setup), ノードに設定した管理者の資格情報を入力し、 サインインをクリックします。

2

[概要] (デフォルトページ) に移動します。

有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

3

[信頼ストアとプロキシ] ページに移動します。

4

[プロキシ接続を確認する] をクリックします。

外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

Webex クラウドからハイブリッド データ セキュリティ ノードを削除するには、次の手順に従います。クラスターからノードを削除した後、セキュリティ データへのさらなるアクセスを防ぐために仮想マシンを削除します。
1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

  1. パートナー ハブにサインインし、 サービスを選択します。

  2. ハイブリッド データ セキュリティ カードで すべて表示 をクリックすると、ハイブリッド データ セキュリティ リソース ページが表示されます。

  3. クラスターを選択して、概要パネルを表示します。

  4. 削除したいノードをクリックします。

  5. 右側に表示されるパネルで このノードの登録を解除 をクリックします

  6. ノードの右側にある … をクリックし、 このノードを削除を選択してノードを登録解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーション ペインで、VM を右クリックし、 削除をクリックします。)

VM を削除しない場合は、構成 ISO ファイルを必ずアンマウントしてください。ISO ファイルがないと、VM を使用してセキュリティ データにアクセスできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッド データ セキュリティ クラスターが提供する最も重要なサービスは、Webex クラウドに保存されるメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。組織内でハイブリッド データ セキュリティに割り当てられているユーザーごとに、新しいキー作成リクエストがクラスターにルーティングされます。カンバセーション スペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスター プラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッド データ セキュリティ データベースまたはスキーマに使用される構成 ISO が失われると、顧客コンテンツが回復不能に失われます。損失などを防ぐためには、以下のプラクティスが必須です:

災害によりプライマリ データ センターの HDS 展開が利用できなくなった場合は、次の手順に従ってスタンバイ データ センターに手動でフェイルオーバーします。

開始する前に

ノードの削除に記載されているように、パートナー ハブからすべてのノードの登録を解除します。以前アクティブだったクラスターのノードに対して構成された最新の ISO ファイルを使用して、以下に示すフェイルオーバー手順を実行します。
1

HDS セットアップ ツールを起動し、 HDS ホストの構成 ISO を作成するに記載されている手順に従います。

2

構成プロセスを完了し、ISO ファイルを見つけやすい場所に保存します。

3

ローカル システムに ISO ファイルのバックアップ コピーを作成します。バックアップコピーを安全に保管してください。このファイルには、データベース コンテンツのマスター暗号化キーを含みます。構成の変更を行う必要があるハイブリッド データ セキュリティ管理者のみにアクセスを制限します。

4

VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

5

設定の編集をクリック >CD/DVD ドライブ1 を選択し、データストアISOファイルを選択します。

更新された構成の変更がノードの起動後に有効になるように、 接続済み および 電源投入時に接続 がチェックされていることを確認してください。

6

HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。

7

パートナー ハブにノードを登録します。参照 クラスター内の最初のノードを登録します

8

スタンバイ データ センター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェイルオーバー後、プライマリ データ センターが再びアクティブになった場合は、スタンバイ データ センターのノードを登録解除し、上記のように ISO を構成してプライマリ データ センターのノードを登録するプロセスを繰り返します。

(オプション) HDS 構成後に ISO をアンマウントする

標準の HDS 構成は、ISO がマウントされた状態で実行されます。しかし、ISO ファイルを継続的にマウントしたままにしないことを希望する顧客もいます。すべての HDS ノードが新しい構成を取得した後、ISO ファイルをアンマウントできます。

構成の変更には引き続き ISO ファイルを使用します。セットアップ ツールを使用して新しい ISO を作成したり、ISO を更新したりする場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが構成の変更を取得したら、この手順で ISO を再度アンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1

HDS ノードの 1 つをシャットダウンします。

2

vCenter Server Appliance で、HDS ノードを選択します。

3

設定の編集 を選択 > CD/DVD ドライブ を選択し、 データストアISOファイルのチェックを外します。

4

HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。

5

各 HDS ノードに対して順番に繰り返します。

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

クラスター内のすべてのノードに到達できない場合、またはクラスターの動作が遅すぎて要求がタイムアウトになった場合、ハイブリッド データ セキュリティの展開は使用できないとみなされます。ユーザーがハイブリッド データ セキュリティ クラスターにアクセスできない場合は、次の症状が発生します。

  • 新しいスペースが作成できない (新しいキーを作成できない)

  • メッセージとスペースのタイトルを暗号解除できない:

    • 新しいユーザーをスペースに追加する (キーを取得できない)

    • 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)

  • クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッド データ セキュリティ クラスターを適切に監視し、アラートに速やかに対処することが重要です。

警告

ハイブリッド データ セキュリティの設定に問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成された電子メール アドレスに電子メールを送信します。アラートでは多くに共通するシナリオを説明しています。

表1. 共通の問題と解決ステップ

警告

アクション

ローカル データべースへのアクセスに失敗しました。

データベースのエラーかローカル ネットワークの問題をチェックしてください。

ローカル データベースの接続に失敗しました。

データベース サーバーが利用可能であり、正しいサービス アカウント証明書がノード構成に使用されていたことをチェックします。

クラウド サービスへのアクセスに失敗しました。

外部接続要件で指定されているとおりにノードが Webex サーバーにアクセスできることを確認します。

クラウド サービスの登録を更新します。

クラウド サービスへの登録に失敗しました。登録の更新は現在進行中です。

クラウド サービスの登録に失敗しました。

クラウド サービスへの登録が終了しましたサービスがシャット ダウンしました。

サービスがアクティベートされていません。

パートナー ハブで HDS をアクティブ化します。

構成されたドメインはサーバー証明書に一致しません。

サーバー証明書が構成されたサービス アクティベーション ドメインに一致することを確認します。

もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。

クラウド サービスへの認証に失敗しました。

正確性とサービス アカウント証明書の期限切れの可能性をチェックします。

ローカル キーストア ファイルを開くことに失敗しました。

ローカル キーストア ファイルの整合性とパスワードの正確性をチェックします。

ローカル サーバー証明書が無効です。

サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。

メトリクスを投稿できません。

外部クラウド サービスへのローカル ネットワーク アクセスをチェックします。

/media/configdrive/hds ディレクトリは存在しません。

仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。

追加された組織のテナント組織設定が完了していません

HDS セットアップ ツールを使用して、新しく追加されたテナント組織の CMK を作成し、セットアップを完了します。

削除された組織のテナント組織セットアップが完了していません

HDS セットアップ ツールを使用して削除されたテナント組織の CMK を取り消して、セットアップを完了します。

ハイブリッド データ セキュリティのトラブルシューティング

ハイブリッド データ セキュリティに関する問題をトラブルシューティングするときは、次の一般的なガイドラインに従ってください。
1

パートナー ハブでアラートを確認し、見つかった項目を修正します。下の画像を参考にしてください。

2

ハイブリッド データ セキュリティ展開からのアクティビティについて、Syslog サーバーの出力を確認します。トラブルシューティングに役立つように、「警告」や「エラー」などの単語をフィルタリングします。

3

Cisco サポートに連絡します。

その他の注意事項

ハイブリッド データ セキュリティ に関する既知の問題

  • ハイブリッド データ セキュリティ クラスターをシャットダウンした場合 (パートナー ハブで削除するか、すべてのノードをシャットダウンすることによって)、構成 ISO ファイルが失われた場合、またはキーストア データベースにアクセスできなくなった場合、顧客組織の Webex アプリ ユーザーは、KMS からのキーを使用して作成されたユーザー リストの下のスペースを使用できなくなります。一度アクティブ ユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。

  • KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

Podman Desktop を使用して HDS セットアップ ツールを実行する

Podman は、コンテナを実行、管理、作成する方法を提供する、無料のオープンソース コンテナ管理ツールです。Podman Desktopは https://podman-desktop.io/downloadsからダウンロードできます。

  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。アクセスするには、そのマシンに Podman をダウンロードして実行します。セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

    HDS セットアップ ツールが環境内のプロキシの背後で実行される場合は、手順 5 で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

    説明

    変数

    認証なしの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    認証なしの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    認証ありの HTTP プロキシ

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    認証ありの HTTPS プロキシ

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。

    • データベース資格情報

    • 証明書の更新

    • 承認ポリシーの変更

  • データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

ハイブリッド データ セキュリティのセットアップ プロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッド データ セキュリティ ホストを構成します。

1

マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

一般環境:

podman rmi ciscocitg/hds-setup:stable  

FedRAMP 環境の場合:

podman rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

podman login docker.io -u hdscustomersro
3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

podman pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

podman pull ciscocitg/hds-setup-fedramp:stable
5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

  • プロキシなしの通常の環境の場合:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • HTTP プロキシがある通常の環境の場合、

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • HTTPS プロキシを使用する通常の環境の場合:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • プロキシなしの FedRAMP 環境の場合:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • HTTP プロキシがある FedRAMP 環境の場合:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • HTTPS プロキシがある FedRAMP 環境の場合:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

次に行うこと

ISO 構成を作成または変更するには、 HDS ホストの構成 ISO を作成する または ノード構成を変更する の残りの手順に従います。

コントロール ハブ内のパートナー組織の既存のシングルテナント HDS 展開を、パートナー ハブのマルチテナント HDS セットアップに移動します。

Control Hub で管理されているパートナー組織の既存のシングルテナント HDS 展開から、Partner Hub で管理されているマルチテナント HDS 展開への変換には、主に、Control Hub での HDS サービスの非アクティブ化、ノードの登録解除、およびクラスターの削除が含まれます。その後、パートナー ハブにログインし、ノードを登録し、マルチテナント HDS をアクティブ化し、顧客をクラスターに追加できます。

「シングルテナント」という用語は、Control Hub 内の既存の HDS 展開を指します。

コントロールハブでHDSを非アクティブ化し、ノードを登録解除し、クラスターを削除します

1

コントロールハブにログインします。左側のペインで、 ハイブリッドをクリックします。ハイブリッド データ セキュリティ カードで、 [設定の編集] をクリックします。

2

設定ページで、「非アクティブ化」セクションまで下にスクロールし、 「非アクティブ化」をクリックします。

3

非アクティブ化後、 リソース タブをクリックします。

4

リソース ページには、HDS デプロイメント内のクラスターが一覧表示されます。クラスターをクリックすると、そのクラスターの下にあるすべてのノードを含むページが開きます。

5

右側の ... をクリックし、 ノードの登録解除をクリックします。クラスター内のすべてのノードに対してこのプロセスを繰り返します。

6

デプロイメントに複数のクラスターがある場合は、すべてのノードが登録解除されるまで手順 4 と手順 5 を繰り返します。

7

クラスタ設定をクリック > 取り除く

8

クラスターの登録を解除するには、 削除の確認 をクリックします。

9

HDS 展開内のすべてのクラスターに対してこのプロセスを繰り返します。

HDS の非アクティブ化、ノードの登録解除、クラスターの削除後、Control Hub のハイブリッド データ サービス カードの下部に セットアップが完了していません と表示されます。

パートナーハブでパートナー組織のマルチテナント HDS をアクティブ化し、顧客を追加します。

開始する前に

マルチテナント ハイブリッド データ セキュリティの要件 に記載されているすべての前提条件がここで適用されます。さらに、マルチテナント HDS への移行中に同じデータベースと証明書が使用されるようにしてください。

1

パートナー ハブにログインします。左ペインの サービス をクリックします。

以前の HDS デプロイメントと同じ ISO を使用してノードを構成します。これにより、以前の既存の HDS 展開でユーザーによって生成されたメッセージとコンテンツに、新しいマルチテナント設定でも引き続きアクセスできるようになります。

2

クラウド サービス セクションで、ハイブリッド データ セキュリティ カードを見つけて、 セットアップをクリックします。

3

開いたページで、 リソースの追加をクリックします。

4

ノードの追加 カードの最初のフィールドに、Hybrid Data Security ノードを割り当てるクラスターの名前を入力します。

クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」、「ニューヨーク」、「ダラス」

5

2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部の 追加 をクリックします。

この IP アドレスまたは FQDN は、 ハイブリッド データ セキュリティ VM のセットアップで使用した IP アドレスまたはホスト名およびドメインと一致する必要があります。

ノードを Webex に登録できることを示すメッセージが表示されます。
6

[ノードに進む] をクリックします。

しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] ページが表示されます。ここで、Webex 組織にノードにアクセスする権限を与えることを確認します。

7

[ハイブリッド データ セキュリティ ノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。

アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。 ハイブリッド データ セキュリティ ページで、登録したノードを含む新しいクラスターが リソース タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
8

設定 タブに移動し、HDS ステータス カードの アクティブ化 をクリックします。

HDS がアクティブ化されました というメッセージが画面下部に表示されます。
9

リソースで、新しく作成されたクラスターをクリックします。

10

開いたページで、 割り当てられた顧客 タブをクリックします。

11

顧客を追加をクリックします。

12

ドロップダウン メニューから追加する顧客を選択します。

13

追加をクリックすると、顧客がクラスターに追加されます。

14

手順 11 ~ 13 を繰り返して、複数の顧客をクラスターに追加します。

15

顧客を追加したら、画面下部の 完了 をクリックします。

次に行うこと

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する で説明されているように HDS セットアップ ツールを実行し、セットアップ プロセスを完了します。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

  • OpenSSL は、HDS セットアップ ツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。

  • OpenSSL を使用する場合は、 X.509 証明書の要件に記載されている X.509 証明書の要件を満たすファイルを作成するためのガイドラインとして、この手順が提供されています。続行する前にそれらの要件を理解します。

  • サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。

  • 秘密鍵を作成します。

  • 証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1

CA からサーバー証明書を受け取ったら、 hdsnode.pemとして保存します。

2

テキストとして 証明書 を表示し、詳細を検証します:

openssl x509 -text -noout -in hdsnode.pem

3

テキスト エディターを使用して、 hdsnode-bundle.pemという証明書バンドル ファイルを作成します。バンドル ファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

フレンドリ名 kms-private-keyで .p12 ファイルを作成します。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

サーバー証明書の詳細をチェックします。

  1. openssl pkcs12 -in hdsnode.p12

  2. アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。次に、秘密鍵と最初の証明書に friendlyName: kms-private-keyの行が含まれていることを確認します。

    例:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

次に行うこと

に戻り、ハイブリッド データ セキュリティの前提条件を完了しますhdsnode.p12 ファイルとそれに設定したパスワードは、 HDS ホストの構成 ISO を作成するで使用します。

元の証明書の有効期限が切れたときに、これらのファイルを再利用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

ハイブリッド データ セキュリティ ノードは、特定のメトリックを Webex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエスト キューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキー マテリアルを送信します。

インバウンド トラフィック

ハイブリッド データ セキュリティ ノードは、Webex クラウドから次の種類の受信トラフィックを受信します。

  • 暗号サービスからルートされたクライアントからの暗号化リクエスト

  • ノード ソフトウェアへのアップグレード

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッド データ セキュリティに必要な Websocket (wss:) 接続の確立を妨げる可能性があります。これらのセクションでは、サービスが適切に動作するために wss: トラフィックを無視するようにさまざまなバージョンの Squid を構成する方法について説明します。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.confに追加する :

on_unsupported_protocol tunnel all

Squid 3.5.27

squid.confに次のルールを追加して、ハイブリッド データ セキュリティを正常にテストしました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
この投稿記事は役に立ちましたか?
この投稿記事は役に立ちましたか?